rest認證

① REST API 只給自己的APP提供介面，需要oauth認證嗎

App通常用restful api跟server打交道。Rest是stateless的，也就是app不需要像browser那樣用cookie來保存session, 因此用session token來標示自己就夠了，session/state由api server的邏輯處理。
如果你的後端不是stateless的rest api, 那麼你可能需要在app里保存session. 可以在app里嵌入webkit,用一個隱藏的browser來管理cookie session.
session 和 oauth token 並不矛盾，作為身份認證 token 安全性比session好，因為每個請求都有簽名還能防止監聽以及重放攻擊，而session就必須靠鏈路層來保障通訊安全了。如上所說，如果你需要實現有狀態的會話，仍然可以增加session來在伺服器端保存一些狀態

② REST API 只給自己的APP提供介面，需要oauth認證嗎

API通用復介面，給軟體預留制的外部連接介面，是按照自己的一套規則體系設計的介面，由於各軟體設計的規則和應用條件不同，基本上是不可能你一個API介面就能對接多個平台的。尤其是網路、360這樣的大公司，只能是你按照他們的規則要求去做設計去適應他們的要求！

③ 部署完activiti-rest，如何在代碼里訪問，base auth驗證怎麼寫

從5.11版本開始不再使用ant腳本的方式啟動demo，並且把activiti-explorer和activiti-rest分離並分別提供一個war包，在wars目錄可以回找到答它。
把activiti-rest.war解壓到Web伺服器的應用部署目錄（例如tomcat的webapps），根據實際需求修改activiti-rest/WEB-INF/classes/db.properties裡面的資料庫配置後啟動應用。
可以通過REST工具測試是否部署成功可以正常的提供服務，例如Chrome的插件REST Console，或者通過Spring MVC提供的RestTemplate。

④ Jersey client 如何連接需要用戶名密碼驗證的HTTPS介面，介面實現方式是REST

核心代來碼：源
HttpAuthenticationFeature feature = HttpAuthenticationFeature.basic("user", "superSecretPassword");
具體文檔：
https://jersey.java.net/documentation/latest/client.html#d0e5189
關鍵詞：
Http Authentication Support

⑤ SharePoint使用REST API時，怎麼使用表單身份驗證

可復以考慮使用HttpWebRequest訪問_vti_bin/authentication.asmx，
制然後把返回的cookie放到reuqest的header中，之後使用SharePoint Rest API來操作sharepoint.
不好意思上面說的不明白，就是添加authentication.asmx這個web service的引用，然後調用裡面的Login方法，
之後把返回的cookie添加到HttpWebRequest的Heder中，後面就可以使用httpwebrequest 調用sharepoint的rest api來操作或者獲取數據了

⑥ java做的restful通過(API key或者token)認證方式的代碼是怎樣的最好能提供例子,坐等高手回答，急急急！

你提供一個n位的字元串，讓客戶調用的時候傳遞過去，讓人的伺服器驗證是否你提供的。——當然這個字串是有演算法的，不是隨便寫的。

⑦ java開發 Rest 介面怎樣設計api_key 也就是我的api怎樣才能不被自由訪問，需要在header加入驗證

以下僅供參考:
如果rest端要自己維護api_key,類似存儲在資料庫里,就分發(授權)給客戶端某個api_key,然後客戶端用api_key和一些其他條件如時間戳+簽名去rest端換取一個token,最後客戶端用這個token和rest端進行交互,可以參考下微信的oauth鑒權.

如果rest端不維護api_key,也就省去分發(授權)客戶端api_key的工作,此時客戶端用傳遞的參數和其他條件如時間戳+簽名去rest端換取一個token..同上

上述所說的token都是唯一的,對於同一個客戶端的請求而言,下次刷取token的時候,之前產生的token作廢;
token本身應該要維持在rest端,也應該有一個過期的限制;
(參數)+(api_key)+時間戳 通過加密演算法(如sha2)生成簽名,rest端同邏輯校驗簽名是否合法一般就能卡掉一大部分的訪問,
至於api_key或者token放在哪裡,一般無狀態訪問比較常見是在head里(常見如angularjs項目),這里我覺得隨意,因為只要被攔截都可見,只是head可以放比較多的東西用來障目就是了.

當然,如果正在用的token被攔截,同樣也是可以隨意訪問的,因此可能要求https協議加證書應該會更牢固點(沒試過);

一般就這樣,再高的我也不懂了,如果陳述有什麼問題,者有什麼看法,也還請不吝賜教~

⑧ yii restfull 怎麼實現token認證

1.已登錄用戶訪問login跳轉到後台首頁，可以在login方法里邊加一個if判斷，只要判斷用戶有登錄系統直接頁面調轉到後台首頁2.登錄登錄次數，可以給用戶表增加一個欄位，專門存放用戶登錄系統次數，每次登錄後把該欄位 累加1

⑨ php怎麼做restapi 安全驗證

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<?php
/*
* PHP簡單利用token防止表單重復提交
* 此處理方法純粹是為了給初學者參考
*/
session_start();
function set_token() {
$_SESSION[『token』] = md5(microtime(true));
}
function valid_token() {
$return = $_REQUEST[『token』] === $_SESSION[『token』] ? true : false;
set_token();
return $return;
}
//如果token為空則生成一個token
if(!isset($_SESSION[『token』]) || $_SESSION[『token』]==」) {
set_token();
}
if(isset($_POST[『test』])){
if(!valid_token()){
echo "token error";
}else{
echo 『成功提交，Value:』.$_POST[『test』];
}
}
?>
<form method="post" action="">
<input type="hidden" name="token" value="<?php echo $_SESSION[『token』]?>">
<input type="text" name="test" value="Default">
<input type="submit" value="提交" />
</form>

⑩ rest 風格如何做許可權認證

既然叫做許可權驗證，就有許可權含義，
定義一個攔截器 類去繼承 AbstractInterceptor 重新它的intercept方法（ActionInvocation arg0 ）， 從參數arg0.getInvocationContext()中獲取獲取攔截內容，攔截器放行return arg0.invoke(); 否則攔截 如登陸： return Action.Input;