REST API 和身份验证与否?
REST API and authentication or not?
我在询问有关从头开发应用程序的问题,但遇到了一些麻烦:
我将有一个前端部分 (Angular) 和一个后端,它们将在后端通过 REST API 进行经典通信。
对于上下文:此应用程序(前端+后端)将部署在每个要使用应用程序的设备上,因此没有 public 全局服务器 API.
问题是:在这种情况下,我是否需要对向后端发出的请求进行身份验证?
或者我是否必须考虑作为本地 web 服务不需要身份验证?如果我必须知道 Rest 应用程序必须是无状态的,我是否应该使用 OAuth(带有一点状态部分)+ JWT 排除 HTTP 会话身份验证?
非常感谢,有些概念我不懂。
编辑:在全球范围内,问题是何时开发简单的 REST 应用程序以及何时开发用于安全的身份验证部分?
通常前端绝对应该进行身份验证才能提供 REST 服务。通常使用 OAuth 之类的东西,这样每个客户端都可以获得一个唯一的令牌来进行身份验证。
如果你说服务器端和客户端都部署在一个独立的设备上,我的第一个问题是你为什么要使用那种架构?在这种情况下 可能 可以避免身份验证,但您确实需要首先阐明客户端-服务器分离背后的逻辑,并考虑可能发生的攻击.
我在询问有关从头开发应用程序的问题,但遇到了一些麻烦: 我将有一个前端部分 (Angular) 和一个后端,它们将在后端通过 REST API 进行经典通信。 对于上下文:此应用程序(前端+后端)将部署在每个要使用应用程序的设备上,因此没有 public 全局服务器 API.
问题是:在这种情况下,我是否需要对向后端发出的请求进行身份验证? 或者我是否必须考虑作为本地 web 服务不需要身份验证?如果我必须知道 Rest 应用程序必须是无状态的,我是否应该使用 OAuth(带有一点状态部分)+ JWT 排除 HTTP 会话身份验证?
非常感谢,有些概念我不懂。
编辑:在全球范围内,问题是何时开发简单的 REST 应用程序以及何时开发用于安全的身份验证部分?
通常前端绝对应该进行身份验证才能提供 REST 服务。通常使用 OAuth 之类的东西,这样每个客户端都可以获得一个唯一的令牌来进行身份验证。
如果你说服务器端和客户端都部署在一个独立的设备上,我的第一个问题是你为什么要使用那种架构?在这种情况下 可能 可以避免身份验证,但您确实需要首先阐明客户端-服务器分离背后的逻辑,并考虑可能发生的攻击.