Я пытаюсь реализовать управление сеансом в своей службе REST. Я узнал эти рекомендации во время серфинга:
-
Не использовать сеансы на стороне сервера - это нарушает принцип RESTful.
-
Использование проверки подлинности HTTP Basic. Невозможно прямо сейчас, так как меня просят не использовать SSL/TLS (что, без сомнения, необходимо для Basic auth.)
-
Использование Http digest - я слышал, что это увеличивает сетевой трафик. Это звучит дорого, особенно когда мой клиент является мобильным устройством.
-
Использование файлов cookie - мне сказали, что я никогда не должен полагаться на cookie для защиты моих важных ресурсов, их можно легко подделать. Кроме того, я читал о межсайтовых скриптовых атаках через файлы cookie.
-
У меня остается возможность генерировать токен аутентификации, который пользователь должен отправлять каждый раз, что я допускаю, не полностью "RESTful".
Теперь мне нужно знать, как мне сгенерировать эти уникальные маркеры проверки подлинности, которые достаточно безопасны на уровне бизнеса? Есть ли какая-нибудь библиотека для Джерси? Должен ли я пойти на OAuth.. Я только что прочитал о них, полезны ли они в моем случае? Имейте в виду, что мои целевые клиенты - это мобильные устройства - могут ли они получить доступ к службе OAuth?