Des qualifications de client peuvent également être passées avec la charge utile régulière de message. Il est marginalement plus facile mettre en application ce du côté de client parce qu'ajouter des qualifications devrait être plus difficile qu'ajoutant un autre paramètre à la demande. Rappelez-vous que même si un point final (SSL) bloqué est employé, le URL utilisé pour la demande est encore introduit l'espace libre, ainsi si les qualifications sont passées sur le URL (comme cela est le cas pour une demande de REPOS), ils en seront évidents et à tous les intermédiaires.
|
|
Avantages :
L'authentification facilement — manipulée devrait être vérifiée avant tout autre traitement, juste comme une page régulière.
Facile de coder — les programmeurs qui souhaitent accéder au besoin d'api ajoutez seulement un paramètre additionnel.
Facile il étrangle au besoin — , devrait être facile de dépister configurer votre application pour dépister combien d'appels pendant une certaine période de temps, et.
Inconvénients :
Les qualifications dans le REPOS — clair APIs auront leurs qualifications introduites l'espace libre si un point final bloqué est employé. Les points finaux de Nonsecure auront des qualifications introduites l'espace libre pour le REPOS et le SAVON APIs.
Aucun chiffrage — toutes les demandes et réponses ne sont évident à n'importe qui entre le serveur de demande et le serveur d'api.
l'authentification Message-basée est très semblable à l'authentification de HTTP au niveau de la sécurité qu'il fournit, la différence primaire étant le passage au loin de manipuler l'authentification du web server à l'application d'api elle-même. Comme avec l'authentification de HTTP, l'authentification de l'api devrait être séparé de l'authentification utilisée ailleurs sur l'emplacement.
|
|