Вопросы с тегом «authentication»

11
Разработка аутентификации для REST API

Я работаю над API для службы REST, которую собираюсь и производить, и потреблять. Я провел последние несколько дней, пытаясь понять, как правильно обращаться с аутентификацией, и думаю, что наконец-то что-то придумал. Я придумаю это на основе следующих фактов о стеке приложений: Клиент и сервер...

11
Будет ли аутентификация через HTTPS замедлять мое приложение?

Я строю веб-приложение и веб-сервис RESTful. Я читал различные статьи о лучшем способе аутентификации запросов к веб-сервису. Мне кажется, что лучше всего использовать базовую аутентификацию HTTP. Практически во всех прочитанных мною статьях говорится, что аутентификация должна быть зашифрована с...

10
Пользовательское использование заголовка авторизации в REST API

Я создаю REST API, где клиенты проходят проверку подлинности с использованием клиентских сертификатов. Клиент в этом случае - это не отдельный пользователь, а своего рода уровень представления. Аутентификация пользователей осуществляется с использованием нестандартного подхода, и уровень...

9
Корпоративные шаблоны для аутентификации JWT для приложений на основе REST?

Спецификация JWT описывает только полезную нагрузку и то, как она отправляется, но оставляет протокол аутентификации открытым, что обеспечивает гибкость, но, к сожалению, гибкость может привести к антипаттернам и неправильному дизайну. Я ищу хорошо продуманный и проверенный корпоративный шаблон для...

9
Кэширование аутентифицированных запросов для всех пользователей

Я работаю над веб-приложением, которое должно иметь дело с очень большими импульсами одновременных пользователей, которым требуется авторизация, для запроса идентичного контента. В своем нынешнем состоянии он полностью наносит ущерб даже 32-ядерному экземпляру AWS. (Обратите внимание, что мы...

9
Должны ли права доступа и роли быть включены в полезную нагрузку JWT?

Должна ли информация о разрешениях и ролях клиента быть включена в JWT? Наличие такой информации в токене JWT будет очень полезно, так как каждый раз, когда приходит действительный токен, будет легче извлечь информацию о разрешении о пользователе, и не будет необходимости вызывать базу данных для...