RESTful Web Service 的安全(token 认证方式)以及性能

最新推荐文章于 2024-04-21 12:00:00 发布
最新推荐文章于 2024-04-21 12:00:00 发布
阅读量1.3w 收藏 6
点赞数
分类专栏: JAVA开发 文章标签: web service token restful
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yinxianluo/article/details/16832087
版权
本文探讨了RESTful Web Service的安全性和性能,重点关注了token认证方式,包括URI中携带token和HTTP基本认证,并讨论了HTTP基本认证的安全隐患及其解决方案。此外,还提到了OAuth认证在第三方访问用户数据时的优势。在性能方面,指出RESTful服务的性能主要取决于web框架,而高可用性通常通过硬件冗余来实现。最后,以Flickr REST API为例,说明如何访问RESTful服务并申请API Key。
摘要由CSDN通过智能技术生成

可扩展性(scalability)和可用性(availability)

 custom token authentication

使用一个独一无二的标志,来标示每一次的数据请求。

这个标志有两种用法:1.它可以作为URI的 2.它可以加入到HTTP的请求头中。

@Path("/users/token={token}")
public class UsersResource {
@GET
@Produces("application/xml")
public String getXML(@PathParam("token") String token) {
    if (AuthenticationService.authenticate(token)) {
        return UserBO.getAllXML();
    } else {
        throw new WebApplicationException(401);
    }
  }
}

先检验URI中的标志——Token,如果token变量未通过验证,返回401错误,即未授权。

 

HTTP basic authentication

RESTful <wbr>Web <wbr>Service <wbr>的安全以及性能
即在HTTP请求头中加入一个Authorization: Basic QWxhZGRpbjpvcGVulHNIc2FtZQ==域,就相当于一个证书。对于浏览器而言,会把证书放入缓存中,这样就不必每次都要输入用户名和密码。但这样会导致越权访问,此时由于存在缓存,所以Web Service很难区分请求是否授权。

 

而且用户名和密码是用Base64 encoding编码的,这个很容易破解,解决这个问题,我们可以用HTTPS(SSL)协议代替HTTP协议。

如果用浏览器访问但没有加入对应的证书,浏览器会出现一个对话框,要求你输入用户名和密码,当用户输入完后,浏览器会再次发送求情。浏览器对401错误会自动处理。

如果使用其他的客户端,则会收到一个401错误。

 

也可以在刚开始的时候就设置好HTTP请求头,这样就不用每次都输入证书了。

最低0.47元/天 解锁文章
yinxianluo
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java webservice 身份验证,使用需要用户名和密码的WebService使用SpringSecurity对用户进行身份验证...
weixin_39761696的博客
02-24 517
Currently I am writing a web application using Spring Security. We have a web service which authenticates users by username and password.Web service:String[] login(String username, String password);Ho...
restful-web-service
03-18
RESTful Web服务是一种基于HTTP协议的、轻量级的网络通信方式,广泛应用于现代Web应用程序中,特别是API接口的设计。这种服务风格强调了资源的概念,使用HTTP方法(GET、POST、PUT、DELETE等)来操作资源,使得接口...
ASP.NET MVC 在WebServiceToken的使用方法
weixin_30599769的博客
10-31 505
最近发现公司接口的验密方式很简单,就是简单的用户名密码校验。客户方面的负责人说要修改一下,所以想起了微信的验证密码的方式故写了这个Demo以供大家学习参考; 接口:WebService 方式Token动态加密签名; 名词解释:Token就是服务端和客户端约定好的一个固定的密码字符串。微信接口上这么写的我就直接般过来了,结果有朋友不理解。 WebService...
Web应用程序的身份验证:Session认证Token认证
Waylon_Ma的博客
04-01 3847
当用户进行登录操作时,服务器会创建一个Session,并给这个Session分配一个唯一的标识符(Session ID),然后将这个Session ID发送给客户端保存。例如,在电子商务网站中,用户需要登录才能访问个人购物车和订单等敏感信息,此时可以使用 session 来验证用户身份,并在服务器端存储相关的用户信息和状态。Token是无状态的,不需要在服务器端保存用户的登录信息,因此具有良好的可扩展性,并且可以很方便地实现分布式系统中的认证和授权。① session数据持久化,写入数据库或别的持久层。
Token详解及安全验证
最新发布
wangluoanquan111的博客
04-21 1311
最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成“令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。
使用Web Service远程调用传递Header的用法
SignBo-zhang
09-15 1138
Web Service 远程调用传递Header的用法
WebService
yuanaili的博客
07-25 265
用过和WebService相同的技术么? Hessian是一个轻量级的remoting onhttp工具,使用简单的方法提供了RMI的功能。 相比WebService,Hessian更简单、快捷。采用的是二进制RPC协议,因为采用的是二进制协议,所以它很适合于发送二进制数据。Hessian 是由 caucho 提供的一个基于 binary-RPC 实现的远程通讯 library 。 1 、是基...
SuperMap iclient for javascript使用token安全认证
12-14
在SuperMap iClient for JavaScript中,安全认证是访问...了解以上知识点后,你就可以在SuperMap iClient for JavaScript中有效地实现基于Token安全认证,确保你的Web应用程序能够安全地访问SuperMap iServer服务。
web service应用以及操作
09-01
另外,WS-Security、OAuth和JWT(JSON Web Token)等协议提供了身份验证和授权机制。 7. **Web服务的实现技术**: - JAX-WS(Java API for XML Web Services)是Java中的标准API,用于创建SOAP Web服务。 - WCF...
package-service:RESTful Web服务,用于使用Spring Boot管理产品包
05-17
- 可使用JWT(JSON Web Token)进行无状态认证。 6. **数据库集成**: - Spring Data JPA简化了与ORM框架(如Hibernate)的交互,提供Repository接口进行CRUD操作。 - 使用`@Entity`定义数据库表映射,`@Table`...
RestAPIWt:使用Wt构建Restful Service的框架
04-28
4. **安全性**:考虑如何实现认证和授权机制,例如使用令牌(Token)进行身份验证,或者使用OAuth 2.0等协议。 5. **错误处理**:有效地处理和报告错误是任何API设计的重要部分。你需要为可能出现的异常情况设计...
C#WEB用户令牌TOKEN验证防止HTTPGETPOST等提交
09-24
C#WEB用户令牌TOKEN验证,防止HTTP、GET、POST等提交包含服务端和客户端源码。Nginx集群,SSL证书的WebApi令牌验证
java webservice 验证_SOAP header验证WebService接口的访问权限
weixin_39908588的博客
02-21 879
webService对外提供的服务,在验证客户端访问权限方面,最笨的验证方法应该是在业务方法上面加参数了,这也是之前的做法!发现网上通行的办法是在SOAP协议头增加对用户的验证。实验完总结如下。客户端采用cxf+spring 配置文件如下address="/resSync/ITReceptionAdapter">ServerPasswordCallback相当于filter,代码如下imp...
java --webservice安全验证
weixin_33724570的博客
01-13 865
2019独角兽企业重金招聘Python工程师标准>>> ...
webservice安全认证方式
iteye_2897的博客
07-26 626
方式一: &lt;soap:Header&gt; &lt;wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" soap:mustUnderstand="1"&gt; &lt;wsse:UsernameToken xm...
Cxf Webservice安全认证
iteye_7611的博客
04-23 351
 在开发的时候发布webservice,为了安全通常需要安全验证,在CXF中的实现,在这里记录一下。   CXF是啥 我就不介绍了, 开发CXF+Spring的webservice服务:    在这里发布一个简单的服务,比如发布的服务为SpingService    写道 这里只是一个简单的接口,通过注解标注这是一个WebService接口:import javax.jws.WebS...
C#访问https的webservice
经验之外
10-27 9529
今天在通过C#访问webservice时遇到一个问题,首先通过对方提供的wsdl生成了调用代理类,在测试能否正常访问时,本机调试(http协议)一切正常,当访问正式环境时(https 协议),总是报“基础连接已经关闭: 未能为 SSL/TLS 安全通道建立信任关系”InnerException信息为:根据验证过程,远程证书无效。 在网上找到解决方法: http://social.micros
restful web service
03-16
RESTful Web服务是一种基于REST(Representational State Transfer)架构风格的Web服务。它使用HTTP协议进行通信,通过URI(Uniform Resource Identifier)来定位资源,使用HTTP方法(GET、POST、PUT、DELETE等)来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值