एक साल या उससे पहले मैंने इस सवाल से पूछा: Can you help me understand this? “Common REST Mistakes: Sessions are irrelevant”। मेरा सवाल अनिवार्य रूप से यह था:एक उपयोगकर्ता को आरईएसटी-आधारित वेबसाइट पर लॉग इन कैसे किया जाएगा?
ठीक है, मुझे लगता है कि प्रत्येक संदेश पर HTTP प्रमाणीकरण स्वचालित रूप से किया जाता है - लेकिन कैसे? क्या उपयोगकर्ता नाम/पासवर्ड हर अनुरोध के साथ भेजा गया है? क्या यह सिर्फ हमले सतह क्षेत्र में वृद्धि नहीं करता है? मुझे लगता है कि मैं पहेली का हिस्सा लापता हूं। जब एक बाकी सेवा से बात कर रही है, एप्लिकेशन बस प्रत्येक अनुरोध के साथ उपयोगकर्ता क्रेडेंशियल भेजना होगा -
जवाब मैं प्राप्त एक मोबाइल (iPhone, Android, WP7) अनुप्रयोग के संदर्भ में सही भावना बनाया है। यह मेरे लिए बहुत अच्छा काम किया।
लेकिन अब, मैं बेहतर ढंग से समझना चाहता हूं कि कोई एक आरईएसटी जैसी वेबसाइट कैसे सुरक्षित करेगा, जैसे स्टैक ओवरफ्लो स्वयं या रेडडिट जैसे कुछ। आईफोन ऐप के माध्यम से लॉग इन किए जाने के बजाय वेब ब्राउज़र के माध्यम से लॉग इन करने वाला उपयोगकर्ता क्या काम करेगा?
- उपयोगकर्ता लॉग इन करते समय क्या होता है? क्या किसी भी तरह ब्राउज़र में क्रेडेंशियल सहेजे गए हैं?
- ब्राउज़र को पता होगा कि बाद के आरईएसटी अनुरोधों के साथ कौन से प्रमाण पत्र भेजना है?
- क्या होगा यदि यह एक webservice के लिए एक जावास्क्रिप्ट कॉल है? जावास्क्रिप्ट कॉल में उपयोगकर्ता प्रमाण-पत्र कैसे शामिल होंगे?
मैं काफी स्पष्ट हूं: वेबसाइटों की बात आने पर सुरक्षा की मेरी समझ बहुत सीमित है, मैं एक वेब डेवलपर नहीं हूं (डमनीट जिम, मैं डेस्कटॉप डेवलपर हूं!)। मुझे एक ऐप परिप्रेक्ष्य से आरईएसटी सेवाओं के साथ काम करना अच्छा लगा, लेकिन अब मैं आरईएसटी सिद्धांतों पर आधारित एक वेबसाइट बनाना और बनाना चाहता हूं, और मैं खुद को बहुत खोने के लिए ढूंढ रहा हूं।
यदि उपर्युक्त प्रश्न में कुछ भी है जो अस्पष्ट है कि आप मुझे स्पष्टीकरण देना चाहते हैं, तो कृपया एक टिप्पणी छोड़ दें और मैं इसे संबोधित करूंगा।
मैंने सोचा कि "आरईएसटी" शब्द वेब सेवाओं को संदर्भित करता है, न कि वेब साइटों पर। –
यह मेरे भ्रम का हिस्सा बन सकता है। मुझे लगता है कि मेरा प्रश्न अभी भी मान्य है, हालांकि, विशेष रूप से स्टैक ओवरफ्लो जैसी साइटों के साथ - बस उपयोगकर्ता कैसे लॉग इन करते हैं, और वे प्रत्येक बार एक वेब सेवा कॉल का आह्वान करते समय उन्हें कैसे प्रमाणित करते हैं? :-) –
@ जॉन नंबर आरईएसटी वितरित सिस्टम के लिए एक वास्तुशिल्प शैली है। वेबसाइटें सभी आरईएसटी बाधाओं को पूरा कर सकती हैं और लाभ का लाभ उठा सकती हैं। वास्तव में आरईएसटी के परिप्रेक्ष्य से वेब साइट और वेब सेवा के बीच वास्तव में कोई अंतर नहीं है। –