サービスにアクセスするためにREST呼び出しを保護する必要があります。私のシナリオは
です。i)アクセスサービスへの残りの呼び出しからユーザ名とパスワードを提供してください。
ii)バックエンドで、U/Pを抽出し、そのユーザ名認証に続く別のサービスにアクセスする必要があります。RESTコールでユーザー名とパスワードを安全に渡すにはどうすればいいですか?
私は「HTTPS」を使用することを明らかにする非常に多くのブログを見てきましたが、何人かは基本認証メカニズムとダイジェスト認証メカニズムを使用すると言いました。私はこの分野に慣れていないので、誰も私にこのシナリオをどのように渡すかを考え出すことができます。
HTTPSを使用すると、すべてのトラフィックがユーザ名とパスワードを含めて安全に暗号化されます。
しかし、これはデータストリーム全体を暗号化します。
これは安全であることが意図されている情報を輸送する場合にお勧めします。
こんにちは、httpsはman-in-middle攻撃だけを避け、ワイヤ越しにポイントツーポイントの方法です。しかし、私はU/Pをプレーンテキストとして送る必要はありません。 –
それからあなたはどんな種類のセキュリティをお探しですか? – KingCronus
HTTPSが問題の場合は、資格情報を暗号化して要求Uriまたは本文に入れる必要があります。しかし、これは暗号化のために公開鍵をクライアントに配布する方法を見つけなければならないことを意味し、クライアントは暗号化を行う能力を持たなければなりません。これは、たとえば、ブラウザクライアントのルールです。私は@adam kingと同意します。この場合、HTTPSが正しい方法です。 –
HTTPSを使用するのは確かにポイントツーポイントのセキュリティメカニズムです。 しかし、あなたのユーザー名/パスワードを承認のためにREST urlに渡すことはできません。
サービスURLに専用のAPIキーを使用することができます。例えば。 maps.google、twitter。
役立つかもしれないリンクを参照してください。.. http://social.msdn.microsoft.com/Forums/en/wcf/thread/c399b15b-479c-4eb0-ac15-b3824a5e7617とhttp://stackoverflow.com/question/2018416/restful-user-authentication-service – Rajesh