RESTful Web Service 的安全(token 认证方式)以及性能

最新推荐文章于 2024-05-09 17:40:33 发布
最新推荐文章于 2024-05-09 17:40:33 发布
阅读量1.3w 收藏 6
点赞数
分类专栏: JAVA开发 文章标签: web service token restful
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yinxianluo/article/details/16832087
版权
本文探讨了RESTful Web Service的安全性和性能,重点关注了token认证方式,包括URI中携带token和HTTP基本认证,并讨论了HTTP基本认证的安全隐患及其解决方案。此外,还提到了OAuth认证在第三方访问用户数据时的优势。在性能方面,指出RESTful服务的性能主要取决于web框架,而高可用性通常通过硬件冗余来实现。最后,以Flickr REST API为例,说明如何访问RESTful服务并申请API Key。
摘要由CSDN通过智能技术生成

可扩展性(scalability)和可用性(availability)

 custom token authentication

使用一个独一无二的标志,来标示每一次的数据请求。

这个标志有两种用法:1.它可以作为URI的 2.它可以加入到HTTP的请求头中。

@Path("/users/token={token}")
public class UsersResource {
@GET
@Produces("application/xml")
public String getXML(@PathParam("token") String token) {
    if (AuthenticationService.authenticate(token)) {
        return UserBO.getAllXML();
    } else {
        throw new WebApplicationException(401);
    }
  }
}

先检验URI中的标志——Token,如果token变量未通过验证,返回401错误,即未授权。

 

HTTP basic authentication

RESTful <wbr>Web <wbr>Service <wbr>的安全以及性能
即在HTTP请求头中加入一个Authorization: Basic QWxhZGRpbjpvcGVulHNIc2FtZQ==域,就相当于一个证书。对于浏览器而言,会把证书放入缓存中,这样就不必每次都要输入用户名和密码。但这样会导致越权访问,此时由于存在缓存,所以Web Service很难区分请求是否授权。

 

而且用户名和密码是用Base64 encoding编码的,这个很容易破解,解决这个问题,我们可以用HTTPS(SSL)协议代替HTTP协议。

如果用浏览器访问但没有加入对应的证书,浏览器会出现一个对话框,要求你输入用户名和密码,当用户输入完后,浏览器会再次发送求情。浏览器对401错误会自动处理。

如果使用其他的客户端,则会收到一个401错误。

 

也可以在刚开始的时候就设置好HTTP请求头,这样就不用每次都输入证书了。

最低0.47元/天 解锁文章
yinxianluo
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
restful-web-service
03-18
RESTful Web服务是一种基于HTTP协议的、轻量级的网络通信方式,广泛应用于现代Web应用程序中,特别是API接口的设计。这种服务风格强调了资源的概念,使用HTTP方法(GET、POST、PUT、DELETE等)来操作资源,使得接口...
C#WEB用户令牌TOKEN验证防止HTTPGETPOST等提交
09-24
C#WEB用户令牌TOKEN验证,防止HTTP、GET、POST等提交包含服务端和客户端源码。Nginx集群,SSL证书的WebApi令牌验证
webservice接口token获取与验证
withawind的博客
07-02 8257
之前项目中用到了APP接口问题 在项目中一般会用到webservicewebsocket来实现接口数据的接收与发送即信息的传递 web是实时接收发送数据 ---暂且不说 下面说下webservice接口的实现方式 --什么是webservice 链接https://baike.so.com/doc/5411995-5650117.html 下面来说下在Javaspring...
.NET WebService \ WCF \ WebAPI 部署总结 以及 window 服务 调试,webservice安全验证
最新发布
u013400314的博客
05-09 1333
一、webservice 部署只能部署IIS上,比较简单,就不做说明了二、 WCF 部署 1部署到IIS 跟部署 webservice 部署方法一样的wcf 部署2部署到控制台 要以管理员运行vs,或者 管理员运行 控制台的exe在控制器项目中创建IUserInfoService 接口实现接口在app.config中增加《《《启动服务》》》验证是否有效》》》如果不放在配置文件中》》》》》》 校验是否成功。
利用Web Service技术实现Token动态获取
weixin_33737134的博客
11-16 1357
1、创建数据库连接类DBConn.java 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 packagecom.xju.ws; importjava.sql.*; publicclass...
webservice 客户端调用服务端出现401错误
业精于勤荒于嬉;行成于思,毁于随。
08-09 6500
原因是服务端做了用户名和密码验证,但是客户端调用时未传递,所以需要调用接口前,把用户名和密码也一块传递过去。    URL url = new URL("http://11.1.1.1/XXXXservice?wsdl");                XXXStub stub = new XXXStub(url,null);         stub.setUsername("admi
SuperMap iclient for javascript使用token安全认证
12-14
在SuperMap iClient for JavaScript中,安全认证是访问...了解以上知识点后,你就可以在SuperMap iClient for JavaScript中有效地实现基于Token安全认证,确保你的Web应用程序能够安全地访问SuperMap iServer服务。
web service应用以及操作
09-01
另外,WS-Security、OAuth和JWT(JSON Web Token)等协议提供了身份验证和授权机制。 7. **Web服务的实现技术**: - JAX-WS(Java API for XML Web Services)是Java中的标准API,用于创建SOAP Web服务。 - WCF...
package-service:RESTful Web服务,用于使用Spring Boot管理产品包
05-17
- 可使用JWT(JSON Web Token)进行无状态认证。 6. **数据库集成**: - Spring Data JPA简化了与ORM框架(如Hibernate)的交互,提供Repository接口进行CRUD操作。 - 使用`@Entity`定义数据库表映射,`@Table`...
WebService 添加头部验证信息
09-09
WebService的调用方,添加头部验证信息
RestAPIWt:使用Wt构建Restful Service的框架
04-28
4. **安全性**:考虑如何实现认证和授权机制,例如使用令牌(Token)进行身份验证,或者使用OAuth 2.0等协议。 5. **错误处理**:有效地处理和报告错误是任何API设计的重要部分。你需要为可能出现的异常情况设计...
ASP.NET MVC 在WebServiceToken的使用方法
weixin_30599769的博客
10-31 505
最近发现公司接口的验密方式很简单,就是简单的用户名密码校验。客户方面的负责人说要修改一下,所以想起了微信的验证密码的方式故写了这个Demo以供大家学习参考; 接口:WebService 方式Token动态加密签名; 名词解释:Token就是服务端和客户端约定好的一个固定的密码字符串。微信接口上这么写的我就直接般过来了,结果有朋友不理解。 WebService...
WebServiceToken 到header中
玩一玩Java
11-25 2555
Axis WebService的客户端调WebService, 但是现在需要加一个UserNameToken.就是需要在Soap包里面加上一个头.需要加的内容如下(应该是用wss4j这个包来完成的):   &lt;soapenv:Header&gt;     &lt;wsse:Security soapenv:mustUnderstand="1" xmlns:wsse="http://d...
移动端与PHP服务端接口通信流程设计(基础版)
weixin_30825199的博客
05-29 801
转载自:http://blog.snsgou.com/post-766.html --->非开放性平台 --->公司内部产品 接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程; 3、有点接口需要用户登录...
webservice之自定义请求头实现
热门推荐
都市桃源
09-05 1万+
需求:目前遇到一个调用webservice服务端的程序,需要开发客户端调用程序,但是涉及到自定义请求头,这个有一点麻烦 目前基于http+json的restful大行其道,所以本篇不介绍webservice服务开发过程,详情可自行百度,基于cxf 可开发webservicerestful服务 好的,言归正传,本篇文章将会介绍webservice客户端调用添加自定义请求头的两种方式,一种是jd...
C# Web服务引用,带用户名和密码的安全验证
feitiankoulan的专栏
09-11 6514
最近做一项目,用到了web服务,只不过是带用户名和密码的安全验证,在网上找了些方法,都没有实现,最后和服务开发者要了实现方法。 第一步:要引用Microsoft.Web.Services3.dll文件。 第二步:添加服务引用-》高级-&gt;添加Web引用-》输入访问地址后-》添加引用。 第三步:Web References-》双击添加的引用-》对象浏览器-》双击服务名字或服务方法如下: ...
Web应用程序的身份验证:Session认证Token认证
Waylon_Ma的博客
04-01 3855
当用户进行登录操作时,服务器会创建一个Session,并给这个Session分配一个唯一的标识符(Session ID),然后将这个Session ID发送给客户端保存。例如,在电子商务网站中,用户需要登录才能访问个人购物车和订单等敏感信息,此时可以使用 session 来验证用户身份,并在服务器端存储相关的用户信息和状态。Token是无状态的,不需要在服务器端保存用户的登录信息,因此具有良好的可扩展性,并且可以很方便地实现分布式系统中的认证和授权。① session数据持久化,写入数据库或别的持久层。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值