Leonardo e Ernani,
O problema é que ela não evita um man-in-the-middle attack.
Abraço,
--
Renato Lima
@renattolima
Em 30 de junho de 2012 12:11, Ernani Joppert Pontes Martins <joppert@gmail.com> escreveu:
Como o Leonardo mesmo disse, você pode usar usar um session id como um
token de autenticação.
Vc teria uma url que faz o login e envia ao cliente o token, este
token é válido até que a sessão expire.
Só tem que tomar cuidado para que ninguém faça um hijack do token. Uns
optam por encriptar este token.
Abraço,
Ernani
2012/6/30 Leonardo Fernandez <leodufer@gmail.com>:
> Eu usaria uma abordagen asi dominio/controlador/metodo?key_chave = 123456
> Onde key_chave seria gerada en tempo de execusao no login do usuario...
> depois e so manter esa key durante o seccion o persistir ela con un
> mecanismo de vencimento e renovaçao
> El 30/06/2012 08:39, "Renato Lima" <renattolima@gmail.com> escribió:
>
>
>>
>> Gink, eu recomendo muito o OAuth, mas se você não quiser toda complexidade
>> que ele trás (que aliás, é só até você entender bem como funciona o fluxo),
>> dá uma olhada nesse post:
>> http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/
>>
>> Mas não deixa de dar uma olhadinha no OAuth, tem muita coisa pronta:
>> http://oauth.net/code/
>> Pra facilitar suas pesquisas, procure por "2-legged oauth implementation",
>> que é o que resolve o seu problema.
>>
>> Abraço,
>>
>> Em 30 de junho de 2012 03:48, Gink Labrev <gink.labrev@gmail.com>
>> escreveu:
>>
>>> Ernani,
>>>
>>> Grato pela resposta.
>>> O Restlet parece bem atual, inclusive saindo um livro [1], que até
>>> menciona Android na descrição do livro.
>>>
>>> Se me permitem elaborar mais minha questão, esta é a seguinte:
>>> Tenho uma seguinte estrutura de link, por exemplo:
>>>
>>> htttp://[domínio]/[id_do_usuário]/[ação]
>>>
>>> Um exemplo seria http://dominio/13/ver_mensagens
>>>
>>> Obviamente, o usuário tem que estar logado para conseguir ver este link.
>>> Só que não minha estrutura atual é uma simples resposta a uma requisição e
>>> nada impede de um usuário mal-intencionado criar um form por HttpClient e
>>> obter a resposta por exemplo.
>>>
>>> A arquitetura RESTful fornece essa camada de proteção/autenticação ? Já
>>> ouvi falar em OAuth para resolver esse problema, mas penso que poderia ser
>>> mais simples resolver por REST.
>>>
>>> Estou falando não só do mobile, mas como tb garantir essa segurança do
>>> lado do servidor.
>>>
>>> Agradeço desde já qq informação,
>>>
>>> Abs,
>>>
>>> [1] http://www.manning.com/louvel/
>>>
>>> Em 29 de junho de 2012 19:18, Ernani Joppert Pontes Martins
>>> <joppert@gmail.com> escreveu:
>>>
>>>> Se você não tiver nenhuma imposição de ninguém existe um framework
>>>> dedicado para tal.
>>>>
>>>> http://restlet.org
>>>>
>>>> Se acaso imporem J2EE, usaria Spring MVC com Spring Web Services.
>>>>
>>>> O MyEclipse For Spring da Genuitec, tem uma ferramenta que gera
>>>> chamadas RESTful com Spring Web Services, além de uma camada J2EE
>>>> usando JPA e Spring Beans com ioC.
>>>>
>>>> Gera JUnit Test cases e uma série de frameworks de User Interface,
>>>> tais como Spring MVC, Spring Webflow, Adobe Flex, JSF 2.0 e uma
>>>> interface Web Mobile chamad MobiOne dela mesma.
>>>>
>>>> Todo o processo se dá por scaffolding, e, usando uma documentação de
>>>> requisitos decente vc consegue gerar muito código a partir de views.
>>>>
>>>> Abraço,
>>>>
>>>> Ernani
>>>>
>>>> 2012/6/29 Gink Labrev <gink.labrev@gmail.com>:
>>>> > Pessoal,
>>>> >
>>>> > Qual melhor maneira de fazer o Android se comunicar com uma API
>>>> > RESTful, e
>>>> > manter a autenticação ao longo das requisições ?
>>>> >
>>>> > Abs,
>>>
>>>
>>
>>
>>
>> --
>> Renato Lima
>> @renattolima
Renato Lima
@renattolima
0 comentários:
Postar um comentário