Modèle de conception pour l'authentification de service Web

Question

Existe-t-il une meilleure pratique ou un modèle de conception sur la façon dont les services Web doivent être authentifiés? Je suis particulièrement préoccupé de ne pas avoir à transmettre les données d'authentification chaque fois que je reçois le service.

Answer 1

Je ne sais pas s'il y a des noms pour ces solutions, mais je l'ai vu deux solutions pour l'authentification ws:

• clés prépartagées - Client et serveur ont des clés pré-partagées (codé en dur). Le client envoie la clé à chaque demande.
• Token Service - Le client envoie ses informations d'identification (utilisateur/passe) au service d'authentification spécial. Le service d'authentification renvoie le jeton (qui est valide pour la durée spécifiée). Le jeton doit être ajouté à chaque appel de service Web.

La communication doit être cryptée dans les deux cas.