我正在用PHP创建一个简单的Web服务来为我们的一些内部应用程序提供数据.
我的问题是围绕身份验证/安全性,实际的Web服务的实现不是问题.
为了安全起见,我计划为每个将使用该服务的应用程序提供他们在调用服务时使用的唯一的,定期静态的身份验证代码.然后,服务代码检查内部列表以查看正在使用的身份验证代码是否有效,并提供对数据的访问(如果是).
例如
xxx.xxx.com/ws.php?op=getproductnameslist&authcode=329cj32x21xdd332
该服务通过HTTPS提供,因此应加密实际数据的传输.
我想就安全问题对上述内容进行一些评论,如果有更好的方法可以做到这一点.
保护WebService并不像通过URL传递get参数那么简单.获取参数记录在HTTP服务器日志中,并轻松复制/粘贴和操作.
WebService安全性不是一个简单的问题,尝试使用熟知的解决方案,我会选择OAuth.PHP有一个很好的实现http://php.net/manual/es/book.oauth.php
您还可以查看有关Web服务安全性的帖子http://www.stormpath.com/blog/secure-your-rest-api-right-way