Эй, ребята, это, кажется, обсуждалось довольно часто, но я хочу задать простой, размытый вопрос о выполнении аутентификации с помощью сервисов RESTful. Сценарий таков:

Существует система, в которой размещаются зарегистрированные пользователи приложения. Система предоставляет RESTful API для доступа к этим пользователям.Существует интерфейсное приложение, которое имеет форму входа. Приложение может быть как внутренним, так и внешним.Внешнему приложению необходимо использовать данные в пользовательской системе для аутентификации пользователя.

Теперь вопрос заключается в том, как аутентифицировать пользователя, чьи учетные данные (имя пользователя / пароль) вводятся в клиентское приложение по данным в системе пользователя, чтобы они были безопасными и производительными? Ради этого вопроса предположим, что клиентское приложение является внутренним по отношению к какой-либо внутренней сети, но приложения не будут находиться на одном компьютере и могут обмениваться данными только через службу.

Я понимаю идею наличия приложения "управляемый гипермедиа " но мы должны быть в состоянии предоставить услуги фильтрации / поиска. Например, рассмотрим ресурсы и API, как показано ниже:

http://example.com/usersGET - извлекает всех пользователей (постраничный, управляемый гипермедиа)POST - создает нового пользователяPUT / DELETE не поддерживаетсяhttp://example.com/users/[id]GET - возвращает полное представление пользователя с id = {id}PUT - обновляет пользователя, принимает любой предопределенный тип медиаDELETE - удаляет пользователя (с соответствующей авторизацией)POST не поддерживается

Исходя из вышеизложенного, моей идеей было бы иметь клиентское приложение GET в списке пользователей, фильтрующее по имени пользователя. Сервис вернет хешированный пароль и соль клиенту, клиент выполнит аутентификацию.

Мысли?