Dans Securing an API: SSL & HTTP Basic Authentication vs Signature L'authentification HTTP de base est citée comme un moyen adéquat de sécuriser les appels de service Web REST si les appels REST sont effectués via SSL.Service REST via SSL et l'authentification de base HTTP
Mais il semble que cette méthode ne fonctionne toujours pas pour une page client non sécurisée qui utilise Ajax pour effectuer des appels au service REST qui est protégé derrière SSL & Basic Auth.
Je suis en train de concevoir une application qui effectue un mot de passe remis à zéro en utilisant la manière habituelle:
- utilisateur entre le nom d'utilisateur et demandes par courriel
- utilisateur « reset mot de passe » reçoit l'email avec un lien de réinitialisation de mot de passe qui comprend un jeton vérifiable
- utilisateur clique sur le lien et (après le jeton est vérifié) types dans leur mot de passe mis à jour
Par définition, ces pages ne pas nécessitent une connexion. Cette interface utilisateur peut-elle être implémentée à l'aide d'Ajax qui appelle les services REST pour effectuer des tâches telles que la validation de jeton, l'envoi d'e-mails, etc.? Même si ces services REST sont protégés par SSL & Basic Auth, les informations dont vous avez besoin pour appeler le service (c'est-à-dire le nom d'utilisateur et le mot de passe de l'application ) seront au mieux dans les cookies accessibles via le navigateur.
Je sais qu'il me manque quelque chose. Je ne sais pas ce que :-)
Avez-vous fini par résoudre ce problème? – bryanmac