우리는 최종 사용자가 로그인 할 것을 요구하지 않는 웹 기반 응용 프로그램을 가지고 있습니다. 애플리케이션은 Ajax를 사용하여 동일한 서버에서 호스팅되는 REST 서비스를 호출한다. 이 응용 프로그램 외에도 다른 응용 프로그램/에이전트가 REST 서비스를 호출하면 거부 될 수 있습니다.안전하지 않은 페이지에서 JavaScript로 REST 호출 보안하기
이렇게 REST API를 보호하는 가장 간단한 방법은 무엇입니까? 내 생각 엔 일종의 보안 토큰을 포함하고 HTTPS를 통해 전화를 걸 것이라고 생각합니다. 그러나 Ajax 애플리케이션이 토큰을 생성/획득/암호화하는 방법과 일반적으로 라이프 사이클이 어떻게 생겼는지에 대해서는 분명하지 않습니다.
가능한 경우 봄 보안 또는 OAuth 외부에서이 작업을 수행합니다. 또한 SSL을 통해 사용자 이름과 암호를 보내는 것으로 인증에 충분하다는 사실을 읽었습니다. 이 경우 앱은 '사용자 이름'과 비밀번호를 가지며 REST 서비스에 요청할 때마다이를 전송합니다. 그러나 클라이언트가 브라우저에서 HTML과 자바 스크립트 인 경우 어떻게 정보를 비밀로 유지할 수 있습니까?
감사합니다.
가능한 [REST API/웹 서비스 보안을위한 모범 사례] (http://stackoverflow.com/questions/7551/best-practices-for-securing-a-rest-api-web-service) –