Итак, я разрабатываю веб-сервис REST с использованием RESTeasy и Google App Engine. Мой вопрос не связан с GAE, но я упомянул об этом на всякий случай. Бывает, что, естественно, мне нужно защитить свои ресурсы и своих пользователей (а не от Google).
Защита веб-службы REST кажется очень спорным предметом или, по крайней мере, очень "либеральным". REST не устанавливает никаких стандартов по этому вопросу. Из того, что я исследовал в Интернете и в литературе, есть, по крайней мере, три подхода, которые, по моему мнению, могут соответствовать моему приложению:
- HTTP Basic (с SSL)
- HTTP Digest (с SSL)
- OAuth
OAuth кажется наиболее полным. Но я не думаю, что такая сложность необходима, потому что мне не нужно будет разрешать сторонние приложения. Это веб-сервис, который нужно использовать только моим клиентским приложениям.
HTTP Basic и HTTP Digest отображаются как самые простые в Интернете, но факт в том, что я никогда не нашел конкретной реализации их, используя RESTeasy, например. Я нашел эту страницу и этот в документации RESTeasy, Они действительно очень интересны, но они мало что говорят по этому поводу (HTTP Basic или Digest).
Итак, здесь я спрашиваю:
Как защитить свой WebService с помощью HTTP Basic или Digest в RESTeasy?
Возможно, это так просто, что это не стоит упоминать в документации или где-нибудь еще? Кроме того, если кто-то может дать мне некоторое представление о безопасности веб-сервисов RESTful, это может быть полезно.
Я выбираю правильные подходы?