【Rest】客户端访问服务端授权加密等问题

问题的出现

当我们设计基于Rest 的Service时,需要对客户端的访问进行权限控制,并不是所有的Client都能访问我Service的资源的。那么就产生了以下需求:
--经过授权的Client可以访问我Service
--Client 和Service之间进行通信时数据该如何加密

情景再现

这是来自StackOverFlow网友的一个例子:
比如医院需要一个基于REST APIs / web services 医药病例管理系统,那么:

  • 医生可以Post和Get患者的病历
  • 护士可以Update医药信息
  • 患者可以Get他们自己的病历
  • 一般人不能访问医院的医药库修改数据
    可以看出,不同的角色有着不同的访问权限,此时就需要我们对不同的权限进行授权和管理

如何管理

--Http +SSL
--API是统一的,登录状态维护可以使用OAuth

参考资源:
Best Practices for securing a REST API / web service
Understanding REST: Verbs, error codes, and authentication
怎样保证到服务器的 REST 请求是由自己的 APP 发起的?

你可能感兴趣的:(【Rest】客户端访问服务端授权加密等问题)