javascript - RESTful Web 服务中的身份验证

coder 2024-05-12 原文

我目前正在创建一个网站，用户可以查看和修改他们的小部件。与存储在我的服务器上的小部件数据的所有交互都将通过 RESTful Web 服务完成。例如，如果用户想要查看他们的小部件列表，则执行流程将类似于:

用户12345访问https://www.example.com/Login.htm并与服务器进行身份验证(在我的情况下是通过 OpenID 提供程序)

用户 12345 然后访问页面 https://www.example.com/Widgets.htm

服务器以 HTML 页面和 javascript 进行响应，这些页面将用于访问我的 Web 服务。

当 HTML 页面加载了 javascript 函数时 getWidgets()将被调用。 getWidgets()将调用我的网络服务 https://www.example.com/Services/Widget/12345

该服务使用另一个 javascript 函数 renderWidgets(widgets) 的用户小部件列表进行响应。将更新 html 页面

我不希望除了用户 12345 之外的任何其他人访问他们自己的小部件，所以我猜 getWidgets()将不得不为我的 Web 服务提供一些身份验证。我不确定实现这一目标的最佳方法是什么。

我在想客户端和服务器可以有一个共享的 secret getWidgets()将发送到网络服务。服务器可以将此 key 生成为随机字符串(数字、GUID 或其他任何内容)，并在客户端请求初始 HTML 页面时将其包含在响应 header 中。客户端将在向服务器发送请求时使用此 key 。

这听起来像一个明智的想法吗？

这是一个常见的要求，所以有没有一种标准的方法来实现同样的事情？据我所知，这超出了 OpenID 的范围，OAuth 不适合。

提前致谢。

最佳答案

这是一个很好的问题 - 但我认为您的解决方案可能需要比您想象的更复杂一些。

通常，您想要验证这种场景的方式是 2 阶段握手。第一步是让您的应用程序向服务器提供一个私钥(由服务器生成，对于客户端应用程序是唯一的)以验证它实际上是一个有效的客户端。这为您的服务器提供了权威证据，证明请求来自它知道并且可以信任的软件。

然后，第二步是当用户登录您的客户端应用程序时，他们提供用户名/密码组合。此信息以及您的应用程序 key 都应通过 SSL 发送到服务器。

SSL 对数据进行加密，以便具有数据包嗅探器的第三方无法读取传输中的数据，服务器执行以下操作:

检查应用程序 key 是否有效。

验证用户名是否存在，并与应用程序相关联。

加密密码并根据与用户名关联的数据库中的加密版本测试加密版本。

如果全部 上面列出的检查通过后，服务器返回一个 session ID，它可以放入客户端 cookie - 并用于在每个后续请求中重新验证用户。 如果有的话 的测试失败 - 服务器返回 401: Unauthorized响应或其他类似错误。

此时，客户端可以使用返回的 session ID，而无需继续重新提交应用程序 key 。

您的申请

现在，在您的情况下，您实际上可能在同一应用程序和同一服务器上托管客户端/服务器。在这种情况下 - 您通常可以跳过围绕私有(private)应用程序 key 的所有部分 - 而只是禁止跨站点脚本请求。

为什么？ - 因为您真正要防范的是以下内容:

服务器 A 托管您的 RESTful API。
客户端 B、C 和 D 的主机客户端将依赖于服务器 A 的 API。您不希望客户端 E(不是您的应用程序 - 并且是恶意的)能够通过绕过或窃取其他客户端之一的凭据来访问服务器 A。

但是，如果客户端和服务器都托管在同一位置，因此具有相同的 URL - 即 RESTful API 位于 www.yourdomain.com/api并且客户端位于 www.yourdomain.com/ - 您通常可以不允许任何源自 yourdomain.com 之外的 AJAX 类型的请求- 这是你的安全层。

在这种情况下，您只需执行以下操作即可获得合理的安全级别:

为您的服务器启用 SSL。

只允许对 /auth/login 的请求(或任何您的登录 POST 方法)通过 SSL 来(在 C# 中，这可以通过使用方法或 Controller 上的 [RequireHttps] 属性来完成)。

拒绝任何源自您自己域之外的 AJAX 请求。

在您的 cookie 中使用一层加密。

你的cookie应该包含什么？

理想情况下，cookie 应包含只有您的服务器才能解密的 2 路加密数据。换句话说 - 您可能会输入类似用户的 username 的内容。或 user_id在 cookie 内部 - 但使用 Rijndael 或其他密码系统对其进行 2 路加密 - 使用只有您的服务器才能访问的加密密码(我建议使用随机字符串)。

然后 - 当您收到附带 cookie 的后续请求时，您只需执行以下操作:

如果 cookie 存在，请尝试使用您的私有(private)密码对其进行解密。

如果生成的解密数据是垃圾 - 抛出 401: Unauthorized响应(这是更改或伪造的 cookie)

如果生成的解密数据是与您的数据库匹配的用户名 - 您现在知道谁在发出请求 - 并且可以相应地过滤/提供数据。

我希望这会有所帮助。 :) 如果没有 - 请随时发表任何评论并提出问题，我会尽力澄清。

关于javascript - RESTful Web 服务中的身份验证，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/13186455/

javascript RESTful code br 的 web-services authentication

有关javascript - RESTful Web 服务中的身份验证的更多相关文章

ruby - 使用 ruby 和 savon 的 SOAP 服务 - 2
我正在尝试使用ruby和Savon来使用网络服务。测试服务为http://www.webservicex.net/WS/WSDetails.aspx?WSID=9&CATID=2require'rubygems'require'savon'client=Savon::Client.new"http://www.webservicex.net/stockquote.asmx?WSDL"client.get_quotedo|soap|soap.body={:symbol=>"AAPL"}end返回SOAP异常。检查soap信封，在我看来soap请求没有正确的命名空间。任何人都可以建议我
ruby-on-rails - 如何验证 update_all 是否实际在 Rails 中更新 - 2
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息？最佳答案在Rails3中，update_all不返回任何有意义的信息，除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
ruby - 具有身份验证的私有(private) Ruby Gem 服务器 - 2
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时，它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器？这是不可能的吗？谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
ruby-on-rails - 如果为空或不验证数值，则使属性默认为 0 - 2
我希望我的UserPrice模型的属性在它们为空或不验证数值时默认为0。这些属性是tax_rate、shipping_cost和price。classCreateUserPrices8,:scale=>2t.decimal:tax_rate,:precision=>8,:scale=>2t.decimal:shipping_cost,:precision=>8,:scale=>2endendend起初，我将所有3列的:default=>0放在表格中，但我不想要这样，因为它已经填充了字段，我想使用占位符。这是我的UserPrice模型:classUserPrice回答before_val
ruby-on-rails - 如何验证非模型(甚至非对象)字段 - 2
我有一个表单，其中有很多字段取自数组(而不是模型或对象)。我如何验证这些字段的存在？solve_problem_pathdo|f|%>... 最佳答案创建一个简单的类来包装请求参数并使用ActiveModel::Validations。#definedsomewhere,atthesimplest:require'ostruct'classSolvetrue#youcouldevencheckthesolutionwithavalidatorvalidatedoerrors.add(:base,"WRONG!!!")unlesss
ruby - Capistrano 3 在任务中更改 ssh_options - 2
我尝试使用不同的ssh_options在同一阶段运行capistranov.3任务。我的production.rb说:set:stage,:productionset:user,'deploy'set:ssh_options,{user:'deploy'}通过此配置，capistrano与用户deploy连接，这对于其余的任务是正确的。但是我需要将它连接到服务器中配置良好的an_other_user以完成一项特定任务。然后我的食谱说:...taskswithoriginaluser...task:my_task_with_an_other_userdoset:user,'an_othe
ruby-on-rails - 启动 Rails 服务器时 ImageMagick 的警告 - 2
最近，当我启动我的Rails服务器时，我收到了一长串警告。虽然它不影响我的应用程序，但我想知道如何解决这些警告。我的估计是imagemagick以某种方式被调用了两次？当我在警告前后检查我的git日志时。我想知道如何解决这个问题。-bcrypt-ruby(3.1.2)-better_errors(1.0.1)+bcrypt(3.1.7)+bcrypt-ruby(3.1.5)-bcrypt(>=3.1.3)+better_errors(1.1.0)bcrypt和imagemagick有关系吗？/Users/rbchris/.rbenv/versions/2.0.0-p247/lib/ru
ruby-on-rails - s3_direct_upload 在生产服务器中不工作 - 2
在Rails4.0.2中，我使用s3_direct_upload和aws-sdkgems直接为s3存储桶上传文件。在开发环境中它工作正常，但在生产环境中它会抛出如下错误，ActionView::Template::Error(noimplicitconversionofnilintoString)在View中，create_cv_url,:id=>"s3_uploader",:key=>"cv_uploads/{unique_id}/${filename}",:key_starts_with=>"cv_uploads/",:callback_param=>"cv[direct_uplo
ruby-on-rails - 如何将验证与模型分开 - 2
我有一些非常大的模型，我必须将它们迁移到最新版本的Rails。这些模型有相当多的验证(User有大约50个验证)。是否可以将所有这些验证移动到另一个文件中？说app/models/validations/user_validations.rb。如果可以，有人可以提供示例吗？最佳答案您可以为此使用关注点:#app/models/validations/user_validations.rbrequire'active_support/concern'moduleUserValidationsextendActiveSupport:
ruby-on-rails - 跳过状态机方法的所有验证 - 2
当我的预订模型通过rake任务在状态机上转换时，我试图找出如何跳过对ActiveRecord对象的特定实例的验证。我想在reservation.close时跳过所有验证!叫做。希望调用reservation.close!(:validate=>false)之类的东西。仅供引用，我们正在使用https://github.com/pluginaweek/state_machine用于状态机。这是我的预订模型的示例。classReservation["requested","negotiating","approved"])}state_machine:initial=>'requested

javascript - RESTful Web 服务中的身份验证

有关javascript - RESTful Web 服务中的身份验证的更多相关文章

随机推荐