對於我目前的側項目,這是一個模塊化的網絡管理系統(其中可能包含了數據庫管理,內容管理系統,項目管理,資源管理,實時跟蹤,等等模塊),我要揭露整個系統作爲RESTful API,因爲我認爲這會使系統更加可用。本身是要系統在ASP.MET MVC3進行編碼但是如果我讓所有的數據/可通過一個RESTful API的行爲,應該使系統很容易與PHP和Ruby,Python和等使用......(他們甚至可以如果他們想要,可以有自己的界面來管理某些數據)。保護一個RESTful API
然而,有一兩件事似乎很難做到容易(從用戶的使用的角度的RESTful API點)與一個RESTful API與Ajax功能的安全性。如果我想要設置和使用很複雜的東西,我只需創建SOAP服務,但使用RESTful API的整個驅動器非常簡單。使用與用戶關聯的密鑰保護RESTful API的最常見方式。當所有的調用都在服務器端完成時,這可以正常工作,但是一旦開始執行ajax功能,即發生更改。我希望RESTful API能夠直接從JavaScript調用,但是任何螢火蟲的人都可以輕易地訪問用戶正在使用的密鑰,允許該人訪問系統。有沒有一種更好的方式來保證RESTful API的安全,它不會讓RESTful API的用戶執行復雜的事情來設置它?
請參閱[REST身份驗證和公開API密鑰](http://stackoverflow.com/questions/5472668/rest-authentication-and-exposing-the-api-key)。 – Arjan 2012-12-15 09:46:37