Вы можете использовать SSL для шифрования данных в пути.
Но SSL - это просто шифрование; сервер ssl не выполняет аутентификацию клиента, а также авторизацию. Вы можете придумать авторизацию , поскольку ответ на вопрос позволяет вызывающему пользователю делать то, что он просит? . Аутентификация , устанавливающая идентификацию вызывающего абонента или аутентификацию, обычно является необходимым первым шагом для авторизации. Иногда вам не нужна «вся идентичность» - вам просто нужно выяснить конкретный аспект. Например, автоматическому затворнику не нужно было знать , кто , но только если вы были мужчиной или женщиной, чтобы узнать личность. Точно так же некоторые службы не заботятся о том, кто вы; они разрешат доступ, если вы звоните из определенной сети (белый список ip), или если у вас есть специальный токен. Р>
Чтобы разрешить серверу различать разрешенные и неавторизованные вызовы, у вас есть несколько вариантов:
-
Белый список IP. Если вы знаете IP-адрес приложения или агента, который будет вызывать вашу службу, вы можете указать это в своей реализации службы. Служба может проверять IP-адрес входящих запросов и отклонять те, которые не включены в белый список. Это своего рода «неявная» авторизация, основанная на адресе вызывающего абонента.
-
секретный токен, который приложение предоставляет в каждом вызове. Вы сказали, что не хотите выполнять аутентификацию, но это форма проверки подлинности. Вы можете назвать это «токен-носитель». Любой, кто несет этот токен, получает авторизацию. На вашем сервере вы должны проверить значение токена и отклонить любые вызовы, которые не соответствуют известному значению. Это очень похоже на белый список IP, за исключением того, что токен явно передан и не имеет никакого отношения к сетевому адресу. Р>
-
пару токенов + ключ. Это похоже на имя пользователя / пароль, но его можно использовать для аутентификации приложения. Используйте это, чтобы обеспечить идентичность самого приложения. Проверьте на стороне обслуживания, как указано выше. Р>
-
имя пользователя / пароль. Чтобы выполнить аутентификацию пользователя приложения. Р>
Возможно, вы захотите объединить их для создания необходимого вам решения. Другими словами, запрос клиента должен быть от правого адреса, и для него должен быть токен / ключ для приложения, а также имя пользователя / пароль для пользователя, чтобы считаться «авторизованным». Р>