Después de crear un servicio REST básico, he llegado al punto en que sería apropiado agregar algún tipo de protección con contraseña, ya que necesito verificar que mis usuarios estén registrados correctamente y que tengan suficientes permisos para ejecutar cualquier acción ellos van a.Contraseña que protege un servicio REST?
El servicio REST principalmente se accede desde una interfaz Javascript-pesado y con eso en mente, he llegado con las dos siguientes alternativas para solucionar esto:
hacer que los usuarios de inicio de sesión credenciales primera envío a una página
/login
conPOST
. La página establece una cookie de sesión en la que el usuario es marcado como iniciado sesión, junto con el nivel de permiso. En cada solicitud de siguiente, verifico que el usuario ha iniciado sesión y su nivel de permiso. Cuando la sesión caduque, automáticamente o manualmente (cierre de sesión, el usuario tendrá que volver a iniciar sesión).Guardar temporalmente las credenciales hash a nivel local y enviar las credenciales de los usuarios a lo largo de cada petición realizada por el usuario para verificar las credenciales & permisos de back-end en una base por-petición.
¿Hay más maneras de resolver esto y hay algo más que me debería preocupar?
Si su back-end está en Java, también podría usar [Apache Shiro] (http://shiro.apache.org/), resolverá muy bien la mayor parte de su problema. – pierpytom