我现在参与的项目中,浏览器端比较重,使用JavaScript MVC构建一个富客户端,通过REST API和Server进行通讯;Server端使用Java实现。
某些需要登录的请求,比如说“显示我的个人信息”,这些请求完全依赖于session,但是这样并不符合REST的初衷。
一般像微博这样的REST API使用oauth进行认证,JavaScript来实现一个oauth认证客户端是否合适?或者还有其他更好的方法来提供身份认证?
1、同一个域名 使用我们常见的用户名/密码验证; 不一定是session 还可以是cookie(session默认也是通过cookie实现)
2、第三方登录 sso/oauth;
http://grandboy.iteye.com/blog/434867
WSSE
或者参考下javaeye的API 它用的是HTTP Basic Access Authentication
如果服务端不需要支持第三方的应用,就不需要用oauth这类的解决方案。可以考虑:
1. HTTPS + 用户名/密码 返回token
2. 后续操作使用token进行验证