Securing an API: SSL & HTTP Basic Authentication vs Signature HTTP 기본 인증은 REST 호출이 SSL을 통해 이루어지는 경우 REST 웹 서비스 호출을 보호하는 적절한 방법으로 인용됩니다.SSL 및 HTTP 기본 인증을 통한 REST 서비스
그러나이 방법은 Ajax를 사용하여 SSL 뒤에 보호 된 REST 서비스에 대한 호출을 수행하는 보안되지 않은 클라이언트 페이지에 대해서는 여전히 작동하지 않습니다. & Basic Auth.
나는 일반적인 방법으로 사용하여 암호 재설정을 수행하는 응용 프로그램을 설계하는 것을 시도하고있다 :
- 사용자가 사용자 이름과 요청 "암호를 재설정"이메일
- 사용자가 포함 된 암호 재설정 링크 메일을 수신 진입을 검증 토큰
- 사용자가 링크를 클릭하고 (토큰이 확인 후) 정의에 의해 자신의 업데이트 된 암호
의 유형이 페이지 에 로그인하지 않아도됩니다. REST 서비스를 호출하는 Ajax를 사용하여 토큰의 유효성 검사, 전자 메일 보내기 등과 같은 작업을 수행 할 때이 UI를 구현할 수 있습니까? 이러한 REST 서비스가 SSL & 기본 인증 (Basic Auth)의 보호를 받더라도 서비스를 호출하는 데 필요한 정보 (예 : 응용 프로그램의 "사용자 이름"및 비밀번호)는 브라우저를 통해 액세스 할 수있는 쿠키를 사용하는 것이 가장 좋습니다.
나는 뭔가를 놓친다는 것을 알고있다. 나는 단지 무엇을 모르겠다. :-)
해결하셨습니까? – bryanmac