这是一个创建于 3945 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近我在学用 Spring MVC 写 RESTful API. 现在到了加用户的时候。
以下问题可能组织的不是很好,好多概念还很模糊 :)
1. 我现在这个练习的web service 简单来说就是有User,每个User 可以 CRUD 属于自己的 Task。
API想做成下面这样 (不知道spring security 有没有提供现成的功能)
POST /user/authenticate form_data: { username, password }
return: access_token
第一步获取这个token,这个会expire,如果expired 后续的call会返回“请重新authenticate”的status code。
后续的API call 都会加上这个 access_token
GET /user/{user_id}/tasks form_data:{ access_token }
return: a list of tasks
POST /user/{user_id}/tasks form_data: { access_token, content: “the content”}
return: success create task
POST /register form_data: { access_token, username: “”, password: “” }
return: success create user
以上的验证方式算是OAuth的简单用法么,以上方法正确可行么?
2. 宏观来说,一般对于web的app,好像都用form login,然后用cookie+session记录这个login的状态。但是对于一个REST Service,如何实现用户的认证?
我看了一下,
(a). 简单的可以用http basic, http digest但是这个必须要https。
(b). 复杂的是OAuth。 这个涉及到给第三方client权限,对于我的这个练习,web_client / mobile_client 是我自己写的,应该不需要认证。
(c). 好像也可以沿用cookie,在android上把cookie存在某个地方,模拟浏览器的那些对cookie的动作,这个感觉不那么好。
一般在企业里用的是什么样的用户认证方式?比如说QQ之类有不同客户端的应用(desktop,web,mobile)
以下问题可能组织的不是很好,好多概念还很模糊 :)
1. 我现在这个练习的web service 简单来说就是有User,每个User 可以 CRUD 属于自己的 Task。
API想做成下面这样 (不知道spring security 有没有提供现成的功能)
POST /user/authenticate form_data: { username, password }
return: access_token
第一步获取这个token,这个会expire,如果expired 后续的call会返回“请重新authenticate”的status code。
后续的API call 都会加上这个 access_token
GET /user/{user_id}/tasks form_data:{ access_token }
return: a list of tasks
POST /user/{user_id}/tasks form_data: { access_token, content: “the content”}
return: success create task
POST /register form_data: { access_token, username: “”, password: “” }
return: success create user
以上的验证方式算是OAuth的简单用法么,以上方法正确可行么?
2. 宏观来说,一般对于web的app,好像都用form login,然后用cookie+session记录这个login的状态。但是对于一个REST Service,如何实现用户的认证?
我看了一下,
(a). 简单的可以用http basic, http digest但是这个必须要https。
(b). 复杂的是OAuth。 这个涉及到给第三方client权限,对于我的这个练习,web_client / mobile_client 是我自己写的,应该不需要认证。
(c). 好像也可以沿用cookie,在android上把cookie存在某个地方,模拟浏览器的那些对cookie的动作,这个感觉不那么好。
一般在企业里用的是什么样的用户认证方式?比如说QQ之类有不同客户端的应用(desktop,web,mobile)
 |
1
yyfearth 2014-01-20 04:11:39 +08:00  1
虽然我没有企业里面的经验,但是我看到的一般是推荐用 OAuth
如果是简单的 https + basic auth 也可以,对于信任的客户端也是可以接受的 或者自己做一套 token 的生成和验证算法 (其实和cookie session差不多)只不过把 token/session_id 放到 authenticate header 里面,我记得 amazon 的auth就是用的这样的方式。MVC 可以用 filter 或者 配置 Spring Security 来做验证。 我之前还用过用 basic auth,但是里面的 username 和 password 实际上是 user id 和 hashed token,这样密码在客户端也有个比较基本的保护 |
 |
2
sharpnk 2014-01-21 08:44:32 +08:00
oAuth 1/2的話,Spring有現成的Library: https://github.com/spring-projects/spring-security-oauth
具體情況取決於你的workflow,但基本的流程都是用username和password來換一個access token。然後你在每個API call的Header裏都加上這個token就可以。這樣API就可以是stateless的了,你不用擔心session的問題。但在客戶端你可能還是需要保存token以便後續使用。如果是web app的話那你基本上只有cookie一個選擇。iOS可以放在keychain裏面。 |
Select Language