2
我一直在寻找让我的REST应用程序更安全的方法。 HTTP基本身份验证似乎是一种方式,但需要在每次请求时在客户端和服务器之间传送用户名和密码。如果我使用curl,但使用Javascript文件,可以正常工作吗?不那么酷。PHP:验证我的REST应用程序
我发现并了解了最近的Digest HTTP身份验证,这似乎是HTTP Basic提供的安全性的一大进步,虽然理解起来更加复杂,但我仍然不完全诚实。
我查看了this question,它是使用Digest方法了解pro和con的答案,但看起来我越想越觉得它变得越来越混乱。
似乎有很多已经可用的解决方案来解决这个问题,但其中大多数现在已接近10岁。
Digest方法是否应该最好在黑暗中单独处理,以获得另一种保护请求的更新方法,或者是否存在已有的已有Digest库?
@pthurmond我不能评论你的答案,但SSL是**不是**验证方法。它只是加密两台服务器之间的数据传输。这仍然会将该API公开给公众,并且不会解决任何问题。 如果您正在传输敏感数据(您可能需要查看SOAP)或者来自安全页面的请求(因此浏览器不会对非安全数据大惊小怪),您应该只使用SSL作为其余API, – adlawson
好的,指出了一点。你仍然需要一个登录/认证系统。也就是说,如果他们使用某种框架,这至少可以部分地被照顾。我想我的重点更多地放在安全方面。看到他已经拥有一个HTTP认证系统(除非我误解他),他需要做的所有增加安全性的工作都是使用证书和一些快速URL检查将其变为安全的http系统(https)。 – pthurmond
@adlawson:谢谢你的回复。你介意在你的解决方案的设计上展示一些伪代码吗? – Industrial