Okay,I get that HTTP authentication is done automatically on every message – but how? Is the username/password sent with every request? Doesn’t that just increase attack surface area? I feel like I’m missing part of the puzzle.
我收到的答案在移动(iPhone,Android,WP7)应用程序的上下文中非常有意义 – 在与REST服务交谈时,应用程序只会发送用户凭据以及每个请求.这对我很有用.
但是现在,我想更好地理解如何保护类似REST的网站,比如StackOverflow本身或像Reddit这样的东西.如果是用户通过网络浏览器登录而不是通过iPhone应用程序登录,情况会怎样?
>用户登录时会发生什么?凭据是否以某种方式保存在浏览器中?
>浏览器如何知道随后的REST请求要发送哪些凭据?
>如果是对Web服务的JavaScript调用怎么办? JavaScript调用如何包含用户凭据?
我会坦率地说:我对网站安全性的理解非常有限,我不是网络开发人员(Damnit Jim,我是桌面开发人员!).我喜欢从应用程序角度使用REST服务,但现在我想尝试构建一个基于REST原则的网站,我发现自己很丢失.
解决方法
如果您创建的网站使用标准HTTP身份验证机制(如Basic或Digest)之一,则浏览器将弹出一个登录屏幕,然后在将来的每个请求中使用这些凭据.
但是,大多数人希望控制他们的登录页面的外观,但据我所知,如果以这种方式捕获登录信息,则无法告诉浏览器,嘿,在将来的请求中使用Authentication头中的这些凭据.
如果有办法告诉浏览器,你正在使用的那些凭据,请忘记它们也会很好.这将允许您有效地注销.
已经建议的解决方法是使用cookie作为Authorization标头的替代品.它并不理想,但只要cookie仅用于提供身份验证信息而不是服务器端会话标识符,那么一切都很好.