현재 고객이 있습니다. 그들에게 RESTful 서비스 (앱을 통해)를 통해 그들 자신에 대한 특정 세부 사항에 대한 액세스 권한을 부여하고자합니다.RESTful 서비스에 대한 사용자 인증
고객에게 가능한 한 적은 번거 로움을주고 싶습니다. 그래서 각 고객에 대해 UUID를 생성 한 다음 UUID를 ID로 제공하여 REST에 액세스하게 할 생각입니다.
예 : http://www.example.org/rest/value/UUID 또는 http://www.example.org/rest/value이며 TLS를 통한 HTTP 기본 인증으로 UUID가 사용됩니다.
내 걱정은 보안입니다. 이 개념들 중 일부에 익숙하지 않다는 것을 명심하십시오. 특정 고객이되는 것을 증명하는 UUID를 사용하여 주된 관심사는 무엇입니까?
위의 시나리오가 이론적으로 전송 중에 UUID를 숨길 수 있다면 UUID를 스니핑하는 누군가에게 공개해야합니다.
나는 UUID가 사람이 읽을 수있는 것은 아니지만 URL/QR/유사를 통한 입력이라고 생각합니다.
감사합니다.당신은 "HTTP 헤더의 식별자 전송은 좀 더 안전합니다 ... 여전히 식별자가 유출되면 공격자가 쉽게 사용자를 가장 할 수 있습니다."- 이것은 일반 사용자와도 실제적으로 다른가요/통과 할 수도 있습니다. 잃어버린? – TragedyStruck
아니, 정말로. 암호는 사용자가 변경할 수 있지만. 그러나 사용자 이름/암호를 사용하면 API를 보안하는 것이 권장되지 않으므로 클라이언트가 각 요청과 함께 보내는 일반 텍스트로 암호를 유지해야합니다. – MvdD