Obecnie mamy usługę internetową opartą na protokole SOAP, której nasze aplikacje używają do uwierzytelniania użytkowników. Zasadniczo wysyłają żądanie SOAP z nazwą użytkownika i hasłem. Usługa sieci Web uwierzytelnia swoje dane uwierzytelniające w naszej pamięci danych i zwraca informacje o użytkowniku, jeśli uwierzytelnienie zakończyło się powodzeniem. Usługa internetowa jest zabezpieczona przy użyciu uwierzytelniania BASIC i SSL.Wysyłanie informacji poufnych do usługi REST
Musimy wprowadzić zmiany w tym serwisie internetowym i rozważałem ponowne napisanie go jako usługi REST. Usługi REST, które stworzyłem w przeszłości, były dość proste i nie wymagały bezpieczeństwa. Nigdy nie stworzyłem usługi REST, która używa poufnych informacji, więc mam kilka pytań/wątpliwości:
Po pierwsze, czy istnieje najlepsza praktyka do bezpiecznego wysyłania poufnych parametrów zapytania (poświadczenia użytkownika) do usługi REST? Nadal mogę korzystać z uwierzytelniania BASIC i SSL.
Po drugie, jeśli wysyłam zapytanie do usługi REST za pomocą testu POST, czy jest ona nadal uznawana za REST, czy jest wymagana GET dla zapytań REST?
Polecam przeczytaniu poniższego StackOverflow Q & A na ten sam temat: http://stackoverflow.com/questions/7551/best-practices-for-securing-a-rest-api-web-service –