Sen kullanabilirsiniz basic www-authentication. Bu temelde adı + şifre içeren bir başlık, bu. Bu konuda iyi bir şey, bu (ayrı bir giriş işlemi gerekmez) vatansız, ve çok iyi desteklenen olmasıdır. Ayrıca uygulamak oldukça basit. Sürece https üzerine hizmet gibi, güvenlik gayet iyi.

@ Parola = bar güvenceye https://www.example.com/login/user-foo: gibi bir URL isuing mı?

Bu bir günlüğüne sonunda olabilir çünkü, URL kimlik koymak iyi değildir.

URL tel üzerinden gönderilmeden önce https kurulum olur mu?

Evet, https http protokolü önce kurulmuştur. Kötü niyetli bir kişi görmek mümkün olacak tek şey, uç noktalarının IP adresleri.

Gibi bir standart, kullanma OAuth? Bunun için izin verirseniz, o zaman kullanıcı sürece istedikleri gibi doğrulanmış belirteci tutabilirsiniz.

Bazı GET isteği Örneğin geldiğinde bir giriş için yönlendirme olabilir Alternatif olarak, eğer sen, hiç bir kimlik doğrulama gerekmez: herhangi bir site Twitter add a tweet bir URL'ye bağlantı kurabilirsiniz. Imzalanan değilken, Twitter ilk giriş sayfasına yönlendirir. Yönlendiren site bile Twitter kullanıcı adınızı bilmek gerekmez.

(Ve evet: URL gönderilmeden önce HTTPS, sunucunun IP adresine göre kurulur.)

Sen arayan tarafından ayarlanması için bir başlık gerektiren bir REST API kimlik doğrulaması yapabilirsiniz. yani Onlar daha sonra okumak ve doğrulamak için kullanabileceğiniz bir "X-YourApp-API-Key" başlığını ayarlayın. Bu POST sadece kimlik doğrulaması ve GET yöntemlerini, ama, baş koymak, ve böylece DİNLENME yöntemlerin tam bir tamamlayıcı var SİL sağlar.

Tüm aramalarınızın HTTPS ise kendisi tarafından, bu gayet iyi. HTTPS üzerinden kimlik doğrulaması isteyen ve daha sonra düzenli olarak HTTP üzerinden yapılan çağrılar varsa OAuth gibi çalışır ve de-net istekleri için bir belirteci verir şey uygulamak gerekir.

SSL üzerinden SOAP kullanarak düşündünüz mü? Teorik olarak, SOAP üzerinde bir kullanıcının kimliğini doğrulamak gerekir.