Sicherheit und Authentifizierung in Webdiensten

Question

Nehmen wir an, wir haben eine Website, die einen Webdienst für all ihre Funktionen verwendet (z. B. das Abrufen und Aktualisieren von Daten aus/in db). Wie authentifiziert der Webdienst Anfragen?

Wie ich es verstehe, in einer traditionellen Java "-Website" stellt ein Benutzer einen Benutzernamen & Passwort, und bei der Validierung wird eine jsessionid dem Benutzer zugewiesen (Client-Browser). Jedes Mal, wenn der Client-Browser die Website nach etwas fragt, sucht die Site nach der jsessionid, um sicherzustellen, dass der Benutzer registriert und authentifiziert ist. Gibt es ein Webservice-Äquivalent dazu? Wenn ja, was?

Answer 1

Normalerweise ist die einfachste Lösung für Webdienste die Standardauthentifizierung. Für etwas Komplexeres wird "Api Key \ Token" mit jeder Anfrage übergeben, um die Benutzer zu authentifizieren. Eine andere Lösung ist OAuth.

Twitter zum Beispiel verwenden Basic Authentication und OAuth.

Answer 2

Die Webservice-Welt unterliegt den ws * -Standards.

Siehe WS-Security:

• http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wss
• http://en.wikipedia.org/wiki/WS-Security

Wikipedia-Artikel gibt eine schöne High-Level-Übersicht, Oase die offizielle Homepage der Standards ist, und liefert die detaillierten Spezifikationen.

Answer 3

Muss Ihr Webdienst sogar öffentlich zugänglich sein?

Sie müssen sich möglicherweise keine Gedanken über komplizierte Authentifizierungsschemata machen, wenn es keinen Grund gibt, zuzulassen, dass öffentlicher Datenverkehr überhaupt den Webdienst erreicht.