Month: 3月 2015

最近想拿一个小项目来试水RESTful Web API，项目只有几个调用，比较简单，但同样需要身份验证，如果是传统的网站的话，那不用说，肯定是用户名+密码在登录页获得登录Token，并把登录Token记在Cookie和Session中作为身份标识的这种方式，但现在不同了，关键是RESTful，这意味着我们设计出来的这些API是无状态的（Stateless），下一次的调用请求和这一次的调用请求应该是完全无关的，也就是说，正宗的RESTful Web API应该是每次调用都应该包含了完整的信息，没错，包括身份信息！

那如何确保安全？传输时给密码做MD5加密？得了吧！这样做只能让你自己感觉“安全”点，其实没什么任何用处，利用现在的技术（有种叫什么Rainbow Table啥的来着？本人外行，不是很懂）很快就能算出明文密码了，而且如何防止挟持和重发攻击？

也许你想到了，SSL，如果你打算采用SSL，请忘记一切自行设计的加密方案，因为SSL已经帮你做好了一切，包括防止监听，防止挟持，防止重发……一切都帮你考虑好了，你大胆地把明文密码写在你的包中就OK了，我向你保证没问题。

但SSL的缺点是服务器端配置相对有点复杂，更关键的就是客户端对此支持可能不好，那你考虑一种自己的加密方法，有木有？我这里提供一种方法，思路来自于：http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/，我只是把上面的内容中整理了一下变成了我的方法。（传说中的剽窃？呵呵）方法描述如下：…