J'ai récemment fait des recherches sur les meilleures approches pour authentifier les appels de services Web (REST SOAP ou autre). Mais aucune des approches ne m'a convaincu ... Mais je ne peux toujours pas faire un choix ...
Certains parlent de SSL et authentification de base http --login/mot de passe - qui semble juste bizarre pour une machine (je veux dire avoir à attribuer un identifiant/mot de passe à une machine, ou n'est-ce pas?).
Certains autres disent API clés (semble que ce schéma est plus utilisé pour le suivi et pas vraiment pour la sécurisation).
Certains disent des jetons (comme les identifiants de session) mais ne devrions-nous pas rester apatrides (surtout si nous utilisons le style REST)? Dans mon cas d'utilisation, lorsqu'une application distante appelle un de nos services Web, je dois évidemment authentifier l'application appelante, et l'appel doit - le cas échéant - me dire quel utilisateur il usurpe pour que je puisse traiter avec autorisation plus tard.Services Web Authentification Jungle
Des pensées?
Ceci est l'authentification/l'autorisation 101. Si vous avez besoin de convaincre de ces différentes approches, vous ne comprenez pas les prémisses sous-jacentes de chacune. Ma seule suggestion est - passer plus de temps à apprendre. – jro
Désolé je ne comprends pas votre commentaire. Qu'est-ce que c'est 101? Je comprends comment l'authentification fonctionne (autorisation aussi). Le problème que je soulève concerne une sorte de «trois parties» et non deux. Le client, le service Web et l'utilisateur du client, qui peuvent être connus du service Web.
Si lu à propos de oauth, qui semble être proche de ce dont j'ai besoin.Mais il y a un workflow qui ne s'applique pas à mon cas (le 'permettez-vous à l'application x de se connecter à vous?')
Est-ce que l'expression "m'a convaincu" qui vous induit en erreur à propos de ma question. Désolé je pourrais devoir le reformuler alors. – redben