【发布时间】:2011-11-16 04:27:00
【问题描述】:
不久前,我们开发了一个网络应用程序,允许用户下订单和跟踪订单。我们现在想添加一个 REST api 以允许桌面软件下订单、检查状态等。
我在网上浏览了很多次,以了解前进的方向。我最大的问题是针对应用程序和特定用户的身份验证。
是否应将应用身份验证数据作为所有调用的标头发送? (我看过AWS' authentication 之类的操作,但是如何访问 PHP 中的 Authentication 标头?或者我可以使用自定义标头,即 X_MYAPP_AUTH。这是不好的做法吗?)
对于用户身份验证,我是否应该让他们在每次通话时传递用户登录凭据?还是在初次调用以生成某种用户令牌?或者我应该做一个完整的 OAuth 类型的实现,但这似乎有很多开销。
我们愿意使用一个可以很好地与我们当前框架配合使用的库,但是我看到的许多库仅列出了 apache 兼容性,并且我们在 IIS7 上运行。此外,我们将为每个客户端部署此 api 的单独实例,因此任何框架都需要易于重新部署。
【问题讨论】:
标签: php rest restful-authentication