授权RESTful服务的实用示例？

Question

S.O.有许多优秀的问题（和答案）。围绕着REST和安全问题。许多人说“纯粹主义者不会喜欢这个，但是等等......”然后其他人说“你永远不应该这样做，因为等等等等”。

但我还没有看到解决方案“纯粹主义者”暗示以下情况。所以我的问题是 - 什么是以下场景的“纯RESTful解决方案”？

简单的场景...

试想建库/网站，让用户管理他们最喜爱的食谱。该网站公开了一个RESTful API，以便用户可以从他们想要编写的自定义程序（利用此API）查询和操作他们的列表。

因此，用户“A”有3个最喜欢的食谱，ID为“1”，“2”和“3”。

用户“B”有2个最喜欢的食谱，ID为“4”和“5”。

我们需要确保如果用户A发送DELETE命令到/Recipes/4他将得到一个Forbidden (403)响应。

我通常会做...

我通常会做的是让他们先调用的验证方法，并把他们某种身份验证令牌，其有效期为30分钟左右。通常这个令牌将通过cookie传递。

什么是纯解决方案？

纯REST解决方案是否让它们将它作为查询字符串中的变量传递？ Are cookies the devil?令牌应该作为URL的一部分使用（而不是查询字符串参数）？还有其他的东西可以清楚地回答这个问题吗？

Answer 1

登录时，你得到了验证令牌资源路径令牌在授权头。这就是它的设计目的。请参阅http://greenbytes.de/tech/webdav/draft-ietf-httpbis-p7-auth-12.html

Answer 2

一个简单的无状态和饼干免费解决方案将给每个用户一个相同的令牌。

有一些方法可以生成这些令牌，以便它们足够稀疏以防出现安全问题。

例如https://www.grc.com/passwords.htm

假设你用户A和用户B你生成用户A的令牌X和用户B的令牌Ÿ

所以用户A将使用类似/X/Recipes/1

和用户B将使用类似/Y/Recipes/4

这是安全的，因为用户A是唯一知道他的令牌的人，正如我之前提到的，生成令牌的方式可以确保其他人猜测该令牌的“不可能”。

因此，如果其他人（如用户B在URL中使用其他标记，比如说/Z/Recipes/1），则应该能够识别并返回相应的错误消息。

您可以让用户在url中传递令牌，如上所示，或将其作为Autherticantion消息嵌入到HTTP请求中。

Answer 3

将auth令牌视为资源。

您通过获取参数为凭据的身份验证令牌进行身份验证（例如，基于https的基本身份验证）。

注销通过执行删除操作中。