我正在寻找解决方案,目前尚未成功:我正在计划一个RESTful Web服务,其中某些操作(例如DELETE)需要特殊的身份验证。带有额外验证的HTTP DELETE请求
这个想法是,用户有一个正常的用户名/密码登录(基于会话或基本身份验证,这里并不重要),使用它们可以访问该服务。某些操作需要以PIN码或甚至一次性密码的形式进行额外的身份验证。在登录过程中加入额外的认证是不可能的(并且会错过整个练习的重点)。
我想过特殊的头文件(类似于X-OTP-Authetication),但是这将使得通过标准HTML页面访问服务变得不可能(无法将自定义头文件包含到链接中)。 另一种选择是HTTP查询参数,但似乎不鼓励,特别是对于DELETE。
任何想法如何解决这个问题?
您是否考虑过[OAuth](http://oauth.net/documentation/getting-started/)?它包含一些扩展的认证和支持已知的提供商,如Facebook,谷歌和微软。 –