Коллеги всем привет кого не видел.
Делаю веб сервисы. По большому счету проблем не имею.
Но как то смущаюсь по поводу механизма реализации системы авторизации.
Классически в браузере мы посылаем на сервер пользователя/пароль и получаем куку с сессией и отсюда и пляшем.
Но для WebService куки вообще применимо ли ?
То бишь как делать авторизацию то, не слать же пароль в каждом запросе.
Как оно принято то ?
1. eai - 16 Октября, 2012 - 10:33:58 - перейти к сообщению
2. avtor.fox - 16 Октября, 2012 - 10:51:33 - перейти к сообщению
eai пишет:
Но для WebService куки вообще применимо ли ?
Нет конечно. Это плохо и непрактично.
eai пишет:
То бишь как делать авторизацию то, не слать же пароль в каждом запросе.
Долбить запросами при каждом удобном случае. А лучше сразу два запроса!
Ну что за глупые вопросы? Вы хотите узнать безопасно ли хранить пароль в чистом виде у кукисах? Что Вы именно хотите узнать? И что именно Вы имеете ввиду под WebService?
3. EuGen - 16 Октября, 2012 - 10:57:29 - перейти к сообщению
4. eai - 16 Октября, 2012 - 11:33:29 - перейти к сообщению
avtor.fox пишет:
Долбить запросами при каждом удобном случае. А лучше сразу два запроса!
Ну что за глупые вопросы? Вы хотите узнать безопасно ли хранить пароль в чистом виде у кукисах? Что Вы именно хотите узнать? И что именно Вы имеете ввиду под WebService?
Долбить запросами при каждом удобном случае. А лучше сразу два запроса!
Ну что за глупые вопросы? Вы хотите узнать безопасно ли хранить пароль в чистом виде у кукисах? Что Вы именно хотите узнать? И что именно Вы имеете ввиду под WebService?
WebService есть программа живущая на сервере и предоставляющая иным программам (клиентам) живущим где попало различные сервисы (например получение некоторого XML) используя протокол http или https.
Я хочу узнать как технически (как правильно) осуществить авторизацию клиента.
(Добавление)
EuGen пишет:
Web SSO (<a href='http://en.wikipedia.org/wiki/Single_sign-on'>wiki</a>)
?
?
Вроде как не то
5. Zuldek - 16 Октября, 2012 - 11:42:50 - перейти к сообщению
тов. Eugen вам кинул ссылку.
Вы не указали ни по каком протоколу организован сервис, ни критичность безопасности и необходимость строжайшей проверки пользователя при вызове каждой функции интерфейса сервиса.
Иными словами, как и всегда, - все зависит от конкретной задачи.
В сервисе для которого безопасность критична, с клиента, как правило, с вызовом функции интерфейса приходит объект с логином и паролем (пример на SOAP):
Вы не указали ни по каком протоколу организован сервис, ни критичность безопасности и необходимость строжайшей проверки пользователя при вызове каждой функции интерфейса сервиса.
Иными словами, как и всегда, - все зависит от конкретной задачи.
В сервисе для которого безопасность критична, с клиента, как правило, с вызовом функции интерфейса приходит объект с логином и паролем (пример на SOAP):
CODE (htmlphp):
скопировать код в буфер обмена
скопировать код в буфер обмена
- <auth>
- <login>Userlogin</login>
- <password>324324Fdfdf5vb234G%243gtukm452434АА</password>
- </auth>
Сервер после такого вызова, генерирует некий token и возвращает его.
Токены обычно живут и обновляется в строго ограниченное время. Последующие вызовы API выглядят уже примерно так:
CODE (htmlphp):
скопировать код в буфер обмена
скопировать код в буфер обмена
- <auth>
- <login>Userlogin</login>
- <password>324324Fdfdf5vb234G%243gtukm454243</password>
- <token>!@#$4324234fdfsfd@$htgyyfydfydfherfeergfegg43f1212e@GHt43yg434_hide</token>
- </auth>