Подлинности может быть принят в HTTP заголовки входящих запросов. Это тот же тип аутентификации, которая используется, когда браузер создает небольшое окно входа при попытке доступа к сайту. В подлинности информации База 64 - кодирование, так она выглядит он зашифрован, когда передается по проводам, но в действительности это не так. Эта кодировка только гарантирует, что все символы являются действительными, которые передаются в заголовке, и не оказывать любого уровня безопасности.
|
|
Преимущества:
Легко заниматься - Поскольку аутентификации посылается информация в HTTP заголовки, это может быть урегулированы некоторые умеренно сложные маршрутизаторы или шлюзы. Это позволит аппаратного уровня замедление злоупотреблений клиентов, или маршрутизации на основе конкретных пользователей. По просьбе стороны, проверка подлинности будет фактически заниматься веб-сервера, а не вашу заявку. Веб-серверы разработаны и испытаны с высоких результатов в виду, так что это, вероятно, в конечном итоге быстрее, чем любые попытки справиться в подлинности самого приложения.
Прозрачность - Поскольку сервер обработки аутентификации, вы можете полностью игнорировать то, что пользователь может войти в систему, и сосредоточиться исключительно на обработку запроса. Это явно применимо только когда запросы пользователей agnostic (каждый пользователь получает тот же ответ на тот же запрос).
Легко код - Добавление дополнительных HTTP заголовок довольно легко в большинстве языков программирования. Это также довольно везде, даже в общих хостинг ситуациях (которые могут помешать вещи, как SSL запросы и внешние библиотеки).
Недостатки:
Подлинности направляется в четко - База 64 - это двусторонний алгоритма. Тот, кто перехватывает просьбе может определить имя пользователя и пароль используется, но они даже не нужно; Они могут только использовать идентичный заголовок сами.
Имя пользователя ограничение - При использовании HTTP аутентификации, двоеточие (:) не могут быть использованы в имени пользователя. А незначительные ограничения, но иметь в виду.
Нет шифрования - Все запросы и ответы видны любому, кто между запрашивающим сервера и API сервера.
Небольшие препятствия для пользования - Те знакомы с этим методом аутентификации мая уклоняться от попыток его.
Это базовый уровень аутентификации является достаточной для многих приложений API. Присутствие некоторых базовых аутентификации позволяет API либо быть клиент знает или agnostic клиента, в зависимости от его конкретных потребностей, и позволяет также замедление или отказ злоупотреблений клиентов. Было бы неплохо с данным типом аутентификации представить некоторые разделения между именем пользователя и паролем комбо для API и сайта в целом. Таким образом, если в API идентификационной информации могут быть (кем-то доступ к код, или захвата его отключить провод), то пользователь может использовать их на регулярной основе информации об изменении API полномочия.
Online: 550 users browsing the articles directory
|
|