使用REST的用户身份验证

Question

我很抱歉如果我的问题似乎是重复的，但我还找不到答案。

我正在使用Spring 3.0构建基于REST的应用程序，并计划最终部署到Google App Engine。现在我的客户可以是Native Android，iPhone或基于Web的客户端。

我的用户需要使用持久层中存储在服务器中的用户名和密码进行登录。现在说我的Android客户端打开应用程序，登录屏幕显示为用户。现在用户输入用户名和密码。

我知道这将是一篇文章，并说我的服务端点是注册。因此，它会像

POST /注册

现在我打算把用户名和密码在邮件的正文中的JSON或XML格式。我的问题是“这是做这件事的正确方法吗？”我打算使SSL成为SSL，但我应该如何真正将这种敏感信息发送到正文中。我计划在成功认证时返回OAUth令牌，并使用它在将来的所有服务调用中验证用户。

在此先感谢。

Answer 1

听起来像你有正确的想法。 SSL应确保您选择发送的方法是安全的。

记住盐+存储之前散列密码： web cryptography - salted hash and other tasty dishes

Answer 2

使用授权头发送的用户名和密码信息。这就是它的原因。