我有當前的客戶羣。我想通過RESTful服務(通過應用程序)讓他們訪問有關他們自己的某些細節。RESTful服務的用戶身份驗證
我想給客戶提供儘可能少的麻煩,因此我正在考慮爲每個客戶生成一個UUID,然後讓他們通過提供他們的UUID作爲標識來訪問REST。
例如:http://www.example.org/rest/value/UUID或http://www.example.org/rest/value將UUID作爲HTTP基本身份驗證通過TLS。
我的擔心是安全。請記住,我對這些概念中的一些是新手。使用按需生成的UUID作爲某個客戶的「證明」,我的主要擔憂是什麼?
如果我的上述情況應該對有人嗅出UUID開放,如果我理論上能夠在傳輸過程中隱藏UUID,也請將其合併。
我知道UUID不是非常容易理解,但輸入被認爲是通過URL/QR /類似的。
謝謝。你提到「在HTTP頭中發送標識符會更安全一些......但是,如果標識符泄漏,攻擊者可以輕鬆模擬用戶」 - 這是否與您的普通用戶/密碼不同丟失? – TragedyStruck
不,不是。雖然用戶可以更改密碼。但是建議不要使用用戶名/密碼來保護API,因爲它會強制客戶端以明文形式保存密碼以隨每個請求一起發送。 – MvdD