rest认证

① REST API 只给自己的APP提供接口，需要oauth认证吗

App通常用restful api跟server打交道。Rest是stateless的，也就是app不需要像browser那样用cookie来保存session, 因此用session token来标示自己就够了，session/state由api server的逻辑处理。
如果你的后端不是stateless的rest api, 那么你可能需要在app里保存session. 可以在app里嵌入webkit,用一个隐藏的browser来管理cookie session.
session 和 oauth token 并不矛盾，作为身份认证 token 安全性比session好，因为每个请求都有签名还能防止监听以及重放攻击，而session就必须靠链路层来保障通讯安全了。如上所说，如果你需要实现有状态的会话，仍然可以增加session来在服务器端保存一些状态

② REST API 只给自己的APP提供接口，需要oauth认证吗

API通用复接口，给软件预留制的外部连接接口，是按照自己的一套规则体系设计的接口，由于各软件设计的规则和应用条件不同，基本上是不可能你一个API接口就能对接多个平台的。尤其是网络、360这样的大公司，只能是你按照他们的规则要求去做设计去适应他们的要求！

③ 部署完activiti-rest，如何在代码里访问，base auth验证怎么写

从5.11版本开始不再使用ant脚本的方式启动demo，并且把activiti-explorer和activiti-rest分离并分别提供一个war包，在wars目录可以回找到答它。
把activiti-rest.war解压到Web服务器的应用部署目录（例如tomcat的webapps），根据实际需求修改activiti-rest/WEB-INF/classes/db.properties里面的数据库配置后启动应用。
可以通过REST工具测试是否部署成功可以正常的提供服务，例如Chrome的插件REST Console，或者通过Spring MVC提供的RestTemplate。

④ Jersey client 如何连接需要用户名密码验证的HTTPS接口，接口实现方式是REST

核心代来码：源
HttpAuthenticationFeature feature = HttpAuthenticationFeature.basic("user", "superSecretPassword");
具体文档：
https://jersey.java.net/documentation/latest/client.html#d0e5189
关键词：
Http Authentication Support

⑤ SharePoint使用REST API时，怎么使用表单身份验证

可复以考虑使用HttpWebRequest访问_vti_bin/authentication.asmx，
制然后把返回的cookie放到reuqest的header中，之后使用SharePoint Rest API来操作sharepoint.
不好意思上面说的不明白，就是添加authentication.asmx这个web service的引用，然后调用里面的Login方法，
之后把返回的cookie添加到HttpWebRequest的Heder中，后面就可以使用httpwebrequest 调用sharepoint的rest api来操作或者获取数据了

⑥ java做的restful通过(API key或者token)认证方式的代码是怎样的最好能提供例子,坐等高手回答，急急急！

你提供一个n位的字符串，让客户调用的时候传递过去，让人的服务器验证是否你提供的。——当然这个字串是有算法的，不是随便写的。

⑦ java开发 Rest 接口怎样设计api_key 也就是我的api怎样才能不被自由访问，需要在header加入验证

以下仅供参考:
如果rest端要自己维护api_key,类似存储在数据库里,就分发(授权)给客户端某个api_key,然后客户端用api_key和一些其他条件如时间戳+签名去rest端换取一个token,最后客户端用这个token和rest端进行交互,可以参考下微信的oauth鉴权.

如果rest端不维护api_key,也就省去分发(授权)客户端api_key的工作,此时客户端用传递的参数和其他条件如时间戳+签名去rest端换取一个token..同上

上述所说的token都是唯一的,对于同一个客户端的请求而言,下次刷取token的时候,之前产生的token作废;
token本身应该要维持在rest端,也应该有一个过期的限制;
(参数)+(api_key)+时间戳 通过加密算法(如sha2)生成签名,rest端同逻辑校验签名是否合法一般就能卡掉一大部分的访问,
至于api_key或者token放在哪里,一般无状态访问比较常见是在head里(常见如angularjs项目),这里我觉得随意,因为只要被拦截都可见,只是head可以放比较多的东西用来障目就是了.

当然,如果正在用的token被拦截,同样也是可以随意访问的,因此可能要求https协议加证书应该会更牢固点(没试过);

一般就这样,再高的我也不懂了,如果陈述有什么问题,者有什么看法,也还请不吝赐教~

⑧ yii restfull 怎么实现token认证

1.已登录用户访问login跳转到后台首页，可以在login方法里边加一个if判断，只要判断用户有登录系统直接页面调转到后台首页2.登录登录次数，可以给用户表增加一个字段，专门存放用户登录系统次数，每次登录后把该字段 累加1

⑨ php怎么做restapi 安全验证

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<?php
/*
* PHP简单利用token防止表单重复提交
* 此处理方法纯粹是为了给初学者参考
*/
session_start();
function set_token() {
$_SESSION[‘token’] = md5(microtime(true));
}
function valid_token() {
$return = $_REQUEST[‘token’] === $_SESSION[‘token’] ? true : false;
set_token();
return $return;
}
//如果token为空则生成一个token
if(!isset($_SESSION[‘token’]) || $_SESSION[‘token’]==”) {
set_token();
}
if(isset($_POST[‘test’])){
if(!valid_token()){
echo "token error";
}else{
echo ‘成功提交，Value:’.$_POST[‘test’];
}
}
?>
<form method="post" action="">
<input type="hidden" name="token" value="<?php echo $_SESSION[‘token’]?>">
<input type="text" name="test" value="Default">
<input type="submit" value="提交" />
</form>

⑩ rest 风格如何做权限认证

既然叫做权限验证，就有权限含义，
定义一个拦截器 类去继承 AbstractInterceptor 重新它的intercept方法（ActionInvocation arg0 ）， 从参数arg0.getInvocationContext()中获取获取拦截内容，拦截器放行return arg0.invoke(); 否则拦截 如登陆： return Action.Input;