我可以在REST API上提供一些帮助。我正在编写一个使用Express,MongoDB并在客户端具有Backbone.js的Node.js应用程序。我花了最后两天的时间来尝试解决所有这些问题,但运气并不好。我已经签出了:
- 保护REST API
- 使用OAuth保护我的REST API,同时仍然允许通过第三方OAuth提供程序进行身份验证(使用DotNetOpenAuth)
- http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/
- http://tesoriere.com/2011/10/10/node.js-getting-oauth-up-and-working-using-express.js-and-railway.js/
我想使后端和前端尽可能分开,所以我认为使用精心设计的REST API会很好。我的想法是,如果我打算开发一个iPhone应用程序(或类似的东西),它可以使用API来访问数据。
但是,我希望这是安全的。用户已登录我的Web应用程序,并且我想确保我的API安全。我阅读了有关OAuth,OAuth 2.0,OpenID,Hmac,哈希等的信息。
...但是我还是很困惑。也许是在深夜,或者我的大脑被炸了,但是我真的可以在这里做些什么。创建安全API的步骤是什么?
任何帮助,任何信息,任何示例,步骤或任何东西都将是不错的。请帮忙!