【发布时间】:2010-12-19 08:37:50
【问题描述】:
如何将 OpenID 与 RESTful Web 服务结合起来?
我正在从事的个人项目是使用 RPX SaaS 来做 OpenID。这样做的关键结果是描述登录用户的 URL。该应用程序本身大量使用 Javascript,我计划使用 REST api 与后端进行通信以进行数据库持久性和空间处理。
此应用程序的安全要求并不高。我想知道哪个用户正在发出请求。我认为我不需要使用 SSL 来对数据保密,并且我不希望运行 SSL 的开销。
我正在使用 Spring,如果可能的话,我想使用 Spring Security (Acegi),但我并不认同这个想法。
选项:
将 OpenID URL 返回给 Javascript 应用程序,使用它为用户检索资源列表,然后按 id 检索/保存/等这些资源。
创建一个会话表,将 OpenID URL 与随机会话令牌连接起来。将令牌返回给 Javascript 应用程序,然后该应用程序必须在每个后续请求中返回令牌。
将选项 2 中的会话用作 OAuth 的消费者令牌等。最初,会话将使用 PKI 加密发送到应用程序。
依赖 J2EE HTTP 会话。
在这些选项中,我倾向于选项 2。劫持会话会很困难,因为攻击者必须猜测会话 ID,而且我不认为应用程序需要防止嗅探。选项 3 与选项 2 基本相同,但会话 ID 不可用于嗅探。选项 4 将 OpenID URL 放入服务器的内存中,并导致 REST 旨在避免的所有可伸缩性问题。
感谢您对此进行任何讨论。
【问题讨论】:
标签: javascript rest openid spring-security restful-authentication