restfultoken演算法

⑴ yii restfull 怎麼實現token認證

1.已登錄用戶訪問login跳轉到後台首頁，可以在login方法里邊加一個if判斷，只要判斷用戶有登錄系統直接頁面調轉到後台首頁2.登錄登錄次數，可以給用戶表增加一個欄位，專門存放用戶登錄系統次數，每次登錄後把該欄位 累加1

⑵ 如何設計RESTful的API許可權

RESTful的授權依靠框架就能解決 比如Jersey Spring，以及servlet容器等都提供授權機制；RESTful難的是認證，token一旦被劫持，授權就沒有意義了。

⑶ 如何設計好的RESTful API

安全是恆久的話題，對於基於WSDL和SOAP的Web Service，我們有WS-Security這樣的安全規范來指導實現認證、授權、身份管理等安全需求。那麼，RESTful API有無成熟可用規范或實現框架呢？如何保證RESTful API的安全性呢？
如何對RESTful API進行版本控制，請分享您認為實用的做法？
HTTP1.1規范中給出的動詞對於設計RESTful API夠用嗎？您在實際項目中會擴展自己的動詞嗎？在什麼情況下需要擴展？
今年5月份發布的JAX-RS 2.0規范對於RSTfulAPI的設計最有價值的特性是哪個（些）? 它（們）用於解決什麼問題？
能否為InfoQ的讀者們推薦一款實用的RESTful API開發框架，並說明您的推介理由。
HTTP2.0規范正在制定當中，您對它的期待是什麼？
InfoQ：什麼是好的RESTful API？相信每個人都有自己的評判標准。那麼，您認為一個好的RESTful API應該具有哪些特徵呢？

李錕：一個好的RESTful API，應該具備以下特徵：
這個API應該是對瀏覽器友好的，能夠很好地融入Web，而不是與Web格格不入。
瀏覽器是最常見和最通用的REST客戶端。好的RESTful API應該能夠使用瀏覽器+HTML完成所有的測試（不需要使用編程語言）。這樣的API還可以很方便地使用各種自動化的Web功能測試、性能測試工具來做測試。Web前端應用（基於瀏覽器的RIA應用、移動App等等）也可以很方便地將多個RESTful API的功能組合起來，建造Mashup類的應用。
這個API中所包含的資源和對於資源的操作，應該是直觀和容易理解的，並且符合HTTP協議的要求。
REST開發又被稱作「面向資源的開發」，這說明對於資源的抽象，是設計RESTful API的核心內容。RESTful API建模的過程與面向對象建模類似，是以名詞為核心的。這些名詞就是資源，任何可命名的抽象概念都可以定義為一個資源。而HTTP協議並不是一種傳輸協議，它實際提供了一個操作資源的統一介面。對於資源的任何操作，都應該映射到HTTP的幾個有限的方法（常用的有GET/POST/PUT/DELETE四個方法，還有不常用的PATCH/HEAD/OPTIONS方法）上面。所以RESTful API建模的過程，可以看作是具有統一介面約束的面向對象建模過程。
按照HTTP協議的規定，GET方法是安全且冪等的，POST方法是既不安全也不冪等的（可以用來作為所有寫操作的通配方法），PUT、DELETE方法都是不安全但冪等的。將對資源的操作合理映射到這四個方法上面，既不過度使用某個方法（例如過度使用GET方法或POST方法），也不添加過多的操作以至於HTTP的四個方法不夠用。
如果發現資源上的操作過多，以至於HTTP的方法不夠用，應該考慮設計出更多的資源。設計出更多資源（以及相應的URI）對於RESTful API來說並沒有什麼害處。
這個API應該是松耦合的。
RESTful API的設計包括了三個循序漸進、由低到高的層次：資源抽象、統一介面、超文本驅動。正是這三個層次確保了RESTful API的松耦合性。
當設計面向互聯網的API時，松耦合變成了一種「必須有」的強需求。緊耦合的API非常脆弱，一旦公布出去，伺服器端和客戶端都無法持續進化。尤其是伺服器端，公布出去的介面根本不敢改，改了之後，幾乎所有客戶端應用立即無法正常工作。REST這種架構風格就是緊耦合API的解毒劑，這個話題可以談的很深，這里就不展開了。感興趣的讀者可以參考《REST實戰》。
這個API中所使用的表述格式應該是常見的通用格式
在RESTful API中，對於資源的操作，是通過在伺服器端-客戶端之間傳遞資源的表述來間接完成的。資源的表述可以有很多種格式，並且在響應和請求中的資源表述格式也會有所不同。GET/POST響應中的資源表述格式，常見的有HTML、XML、JSON；POST/PUT請求中的資源表述格式，常見的有標準的HTML表單參數、XML、JSON。
這些常見表述格式，處理起來非常容易，有大量的框架和庫提供支持。所以除非有很合理的要求，通常不需要使用自定義的私有格式。
使用HTTP響應狀態代碼來表達各種出錯情況
HTTP響應狀態代碼，是HTTP協議這個統一介面中用來表達出錯情況的標准機制。響應狀態代碼分成兩部分：status code和reason phase。兩部分都是可定製的，也可以使用標準的status code，只定製reason phase。
如果一個所謂的「RESTful API」對於任何請求都返回200 OK響應，在響應的消息體中返回出錯情況信息，這種做法顯然不符合「確保操作語義的可見性」這個REST架構風格的基本要求。
這個API應該對於HTTP緩存是友好的
充分利用好HTTP緩存是RESTful API可伸縮性的根本。HTTP協議是一個分層的架構，從兩端的user agent到origin server之間，可以插入很多中間組件。而在整個HTTP通信鏈條的很多位置，都可以設置緩存。HTTP協議內建有很好的緩存機制，可以分成過期模型和驗證模型兩套緩存機制。如果API設計者完全沒有考慮過如何利用HTTP緩存，那麼這個API的可伸縮性會有很多問題。
李建業：首先說明一下，對REST這個概念，我一般把它理解為REST風格的架構，但是現在實踐中最為廣泛認知的是HTTP，而它是REST的一個實現，所以RESTful API也可以不太嚴格的指基於HTTP的API——當然，即使是不嚴格的時候，API本身也應該力求遵循REST架構風格。
我認為，一個RESTful API最重要的一點應該是——「盡可能少的先驗信息」，這一條也同時是我判斷一個好的RESTful API的標准。
比如HTTP動詞，在實踐中，大家可能會常常糾結於有效利用 HTTP 動詞，但這卻並不是特別重要的事情——除非你理解這么做的價值。HTTP 動詞最重要的地方在於它是標准闡明了的行為，也就是說，如果我們的「客戶端」遵循約定，那麼就不必要發明新的動詞，也就不必增加「先驗信息」；但是，所謂「先驗信息」，針對的是客戶端——對API來說就是調用者，對於一些企業內部系統，或者一些傳統系統，由於「資源」很穩定，對資源的操作也很穩定，這些系統的「調用客戶端」不是瀏覽器而是另一個系統，此時如果強制對應到HTTP動詞，反而會變成額外的「先驗信息」，這時我就不會太拘泥HTTP動詞，自己制定一套動詞放在參數中也可以接受——只要動詞不變化，這個系統依然是REST風格的。
再比如Response裡面的Content-Type，這個有時會被新手忽略，但這其實很重要，因為一般涉及到系統間協同的API，往往不會使用普通的文本，比較常見的是使用json表達復雜結構，而這與通常的預設理解不同（預設一般會認為是text/plain和text/html），所以如果在API中忘記用Content-Type進行區分的話，後續對多種類型的客戶端接入的支持就會變成陷阱（我們多次遇到過這個問題）。而如果一開始就檢查是否增加先驗知識（預設Content-Type為plain或者允許指定Content-Type），那這一困難就可以避免了。
丁雪豐：首先，應該正確地使用HTTP的統一介面，比如HTTP的動詞，如果不分青紅皂白清一色POST那顯然還有改進的餘地；
其次，資源有合適的粒度，可以從三個方面來評判資源的粒度是否合理——網路的效率、表述的大小以及客戶端使用時的易用程度；
最後，是表述的設計，除了表述的正文內容，還有其中的URI和鏈接，這些都是評判一個RESTful API好壞的標准。
馬鈞：在我看來，一個好的API標准，就是能盡量利用到HTTP協議的特性，將HTTP當成一種轉移協議，而不是傳輸協議。包括但不限於：利用HTTP的各種動詞來明確操作；包含有內容協商，可以根據請求頭提供的參數選擇一個資源最合適的媒體類型、語言、字元集和編碼的表現；使用不同的返回代碼來描述各種狀態。但實際上見到過的很多聲稱RESTful API，包括國內的和國外的，能符合這些條件的並不多。parse.com提供的API是我見到過的較為不錯的RESTful API，可以作為範例參考。
InfoQ：安全是恆久的話題，對於基於WSDL和SOAP的Web Service，我們有WS-Security這樣的安全規范來指導實現認證、授權、身份管理等安全需求。那麼，RESTful API有無成熟可用規范或實現框架呢？如何保證RESTful API的安全性呢？
李錕：保證RESTful API的安全性，主要包括三大方面：
a) 對客戶端做身份認證
b) 對敏感的數據做加密，並且防止篡改
c) 身份認證之後的授權
對客戶端做身份認證，有幾種常見的做法：
在請求中加簽名參數
為每個接入方分配一個密鑰，並且規定一種簽名的計算方法。要求接入方的請求中必須加上簽名參數。這個做法是最簡單的，但是需要確保接入方密鑰的安全保存，另外還要注意防範replay攻擊。其優點是容易理解與實現，缺點是需要承擔安全保存密鑰和定期更新密鑰的負擔，而且不夠靈活，更新密鑰和升級簽名演算法很困難。
使用標準的HTTP身份認證機制
HTTP Basic身份認證安全性較低，必須與HTTPS配合使用。HTTP Digest身份認證可以單獨使用，具備中等程度的安全性。
HTTP Digest身份認證機制還支持插入用戶自定義的加密演算法，這樣可以進一步提高API的安全性。不過插入自定義加密演算法在面向互聯網的API中用的不是很多。
這個做法需要確保接入方「安全域-用戶名-密碼」三元組信息的安全保存，另外還要注意防範replay攻擊。
優點：基於標准，得到了廣泛的支持（大量HTTP伺服器端、客戶端庫）。在伺服器端做HTTP身份認證的職責可以由Web Server（例如Nginx）、App Server（例如Tomcat）、安全框架（例如Spring Security）來承擔，對應用開發者來說是透明的。HTTP身份認證機制（RFC 2617）非常好地體現了「分離關注點」的設計原則，而且保持了操作語義的可見性。
缺點：這類基於簡單用戶名+密碼機制的安全性不可能高於基於非對稱密鑰的機制（例如數字證書）。
使用OAuth協議做身份認證
OAuth協議適用於為外部應用授權訪問本站資源的情況。其中的加密機制與HTTP Digest身份認證相比，安全性更高。需要注意，OAuth身份認證與HTTP Digest身份認證之間並不是相互取代的關系，它們的適用場景是不同的。OAuth協議更適合於為面向最終用戶維度的API提供授權，例如獲取隸屬於用戶的微博信息等等。如果API並不是面向最終用戶維度的，例如像七牛雲存儲這樣的存儲服務，這並非是OAuth協議的典型適用場景。
對敏感的數據做加密，並且防止篡改，常見的做法有：
部署SSL基礎設施（即HTTPS），敏感數據的傳輸全部基於SSL。
僅對部分敏感數據做加密（例如預付費卡的卡號+密碼），並加入某種隨機數作為加密鹽，以防範數據被篡改。
身份認證之後的授權，主要是由應用來控制。通常應該實現某種基於角色+用戶組的授權機制，這方面的框架有不少（例如Spring Security），不過大多數開發團隊還是喜歡自己來實現相關功能。
李建業：我不認為安全是RESTful API需要考慮的問題，事實上我覺得這是兩個正交的問題。當然，如果使用RESTful API來提供認證、授權和身份管理，那也算是雙方有關系，但是這和其它風格的API設計所要考慮的問題似乎沒什麼區別，不值得特別注意。
但是在具體設計層面，這兩者的「正交點」上似乎確實有些問題，因為REST是一個推崇狀態無關原則的架構風格，而認證和授權通常基於第三方解決方案，所以往往會出現違背有狀態約束的問題，這個地方我也沒有特別的想法，當然這個困難和原問題關系不大。
至於WS-族的協議，我不太了解，不太能參與討論。
丁雪豐：對於RESTful API，常見的安全措施都是可以繼續使用的。例如，為了防篡改，可以對全部參數進行簽名；為了防範重放攻擊可以在請求中增加一次性的Token，或者短時間內有效的Token；對內容加密可以實現數據防泄露……；對於DDoS攻擊，各種HTTP流量清洗策略，都可以繼續發揮作用，因為這就是基本的HTTP請求。
在授權和認證方面，OAuth 2.0已經基本成熟了，並且得到了廣泛地應用。如果可以，接入第三方賬戶體系是個不錯的選擇，比如Google和Facebook的，國內的當然也有幾個候選。
馬鈞：個人認為RESTful的安全性分為幾個層次，在安全要求較高的場合，可以通過HTTPs這樣的加密協議來保證網路層的安全，應用層的安全可以通過OAuth實現認證，而對於資源的訪問授權，則只能依靠應用程序來實現了。
InfoQ：如何對RESTful API進行版本控制，請分享您認為實用的做法？
李錕：一個比較簡單實用的做法是直接在URI中插入版本號，這樣做允許多個版本的API並行運行。
另一個做法是在HTTP請求中加入自定義頭信息，標明使用的版本號。不過這個做法其實對瀏覽器不夠友好，簡單地使用瀏覽器+HTML無法測試。
李建業：目前比較好的方式還是在uri設計中添加版本信息，其它方法都不如這個實用。
丁雪豐：個人認為最好的版本化，就是沒有明顯的版本。在對已發布的服務進行變更時，要盡量做到兼容，其中包括URI、鏈接和各種不同的表述的兼容，最關鍵的就是在擴展時不能破壞現有的客戶端。例如，要變更一個參數，可以選擇同時兼容新舊兩種輸入，或者保持老參數不動，提供一個新的參數，在文檔中必須做出說明，不推薦新用戶再繼續使用之前的參數。
如果必須要進行不兼容的變更，那麼可以選擇標記不同的版本號，這時可以選擇在路徑或參數中增加版本信息。也有做法是增加HTTP標頭，只是在調用時會稍有不便，推薦前兩種方法。
馬鈞：RESTfulAPI的版本升級，盡量兼容之前的版本，保證原有的API都能正常工作，可以通過HTTP 301轉跳到新的資源。另外一種實用的做法就是在url中保留版本號，同時提供多個版本供客戶端使用，如 v1.rest.com 或者 rest.com/v1/ 這樣。
InfoQ：HTTP1.1規范中給出的動詞對於設計RESTful API夠用嗎？您在實際項目中會擴展自己的動詞嗎？在什麼情況下需要擴展？
李錕：這個問題取決於設計者如何看待和設計資源。如果資源抽象做的很好，對於某個資源的任何操作，通常都能夠映射到CRUD四個類別中。CRUD四個類別對於操作資源來說，絕大多數情況下是完備的。HTTP的GET/POST/PUT/DELETE四個方法，對於CRUD四個類別的操作來說是足夠的，映射關系是Create-POST/Retrieve-GET/Update-PUT/Delete-DELETE。
我們通常不會選擇創建自己的動詞，這樣做對於客戶端開發者來說，需要更多的學習成本。如果在資源上定義的操作過多，我們會選擇拆分出更多的資源。
李建業：一般是夠用的，有時一些「不夠用」的場景是由於我們沒有設計出合理的資源，比如批量操作。但是，正如之前所說的那樣，對於某些內部的、傳統的（因此模型穩定且已知）系統，API提供者和調用者會有自已的固定動詞表，此時沒必要拘泥。另外，我不建議擴展動詞，一旦擴展了動詞，其實已經破壞了我之前說的*「盡可能少的先驗信息」*，那麼，擴展動詞和重新設計動詞的成本差別不大。基於這個考慮，我建議盡可能保持動詞不變，除非你想重新設計動詞表。
丁雪豐：一般情況下，常用的HTTP動詞是夠用的，並沒有出現一定要自己擴展動詞的情況。其實，最常用的也就是GET、POST、DELETE和PUT，而HEAD、OPTIONS、TRACE則基本用不太到。如果出現一時找不到合適的動詞，安全冪等的操作用GET，其他都可以用POST，在設計資源時稍加考慮即可。
馬鈞：在我的實際項目中，只用到了POST，PUT，DELETE，GET這四個動詞。
InfoQ：今年5月份發布的JAX-RS 2.0規范對於RSTfulAPI的設計最有價值的特性是哪個（些）? 它（們）用於解決什麼問題？
李錕：REST開發框架RESTEasy項目負責人Bill Burke，去年寫了一篇文章介紹JAX-RS 2.0。
我同意Bill在文章中的觀點，在JAX-RS 2.0增加的內容中，最重要的三部分為：
a) Client API——用來規范化JAX-RS客戶端的開發方式。
b) Server-side Asynchronous HTTP——用來實現伺服器端推送功能，而不需要依靠低效的輪詢方式。
c) Filters and Interceptors——用來分離關注點，將鑒權、日誌等邏輯與業務邏輯分離開，更好地實現代碼重用。
這三部分的內容對於開發者來說都很有用。遵循JAX-RS規范做開發，可以確保伺服器端以及客戶端代碼的可移植性。
李建業：我個人關注非同步API這部分，主要是因為流式服務將會越來越多，那將大量需要這類支持。
InfoQ：能否為InfoQ的讀者推薦一款實用的RESTful API開發框架，並說明您的推介理由。
李錕：這個問題我就不詳細回答了。不同的編程語言有不同的REST開發框架，對於REST的支持程度也不同。開發RESTful API的需求范圍很廣，可選擇的開發框架的范圍也很廣。保持多樣性是繁榮生態環境的基礎。像java就有支持JAX-RS規范的Jersey、RESTEasy、Restlet、Apache CXF，和不支持JAX-RS規范的Spring MVC等等很多框架。這些框架目前都做的不錯。我對框架的選擇沒有傾向性。RESTful API設計的最佳實踐應該是通用的，而不是必須依賴某種特定的開發框架。
李建業：不好意思，這個我不太重視，沒法推薦，不過我可以解釋一下為什麼對RESTful API框架不感冒的原因。
REST作為一個架構風格，對我們的系統開發有很大影響，但是這些影響一般是針對架構（例如狀態無關）或者設計（例如資源識別）上的，所以一旦涉及到具體實現，主要工作就基本結束了，此時開發框架能做的事也就只有簡化編程了（相較而言，有的框架還能起到引導設計的作用），而由於RESTful會抽象動詞，所以實現層面中和API規范相關的工作本來就不多，那麼框架的價值就更小了。
當然，我們也不可能直接基於servlet/rakc/wsgi來開發，不過一般的編程語言都會提供一些簡單的url route/match策略，我們使用這些就足夠了。另外，有些框架能幫我們生成全部的動詞支持，但這也未必是好事，我一般傾向於按需實現——用到了再支持，這就更不需要太關注開發框架對RESTful的支持了。
丁雪豐：由於本人是Spring的擁護者，工作中也一直在使用Spring，所以在選擇框架時會更多地傾向Spring MVC（並不是說別的框架不好，這里有些個人主觀的成份）。如果一定要選擇其他框架，也要選擇能夠方便與Spring集成的框架。如果在項目中已經使用了Spring，那麼沒有什麼理由不選擇Spring MVC，鑒於目前Spring在各種項目中的高出鏡率，相信一般情況下都會選擇Spring MVC。
REST的成熟度模型中，第三層就是HATEOAS，Spring目前還提供了Spring Hateoas子項目，對鏈接、資源等方面的支持都做了一定的增強。
馬鈞：我目前在實際項目中使用的是Spray，這是一個開源的 REST/HTTP 工具包和底層網路 IO 包，基於 Scala 和 Akka 構建。輕量級、非同步、非堵塞、基於 actor 模式、模塊化和可測試是Spray的特點。
InfoQ：HTTP2.0規范正在制定當中，您對它的期待是什麼？
李錕：我的期待包括兩個方面：應該做的和不應該做的。
HTTP/2.0規范應該做的：
與HTTP/1.1協議保持兼容。兼容的含義是說兩者可以並存，客戶端應用可以根據伺服器端的能力，自由地選擇使用HTTP/2.0還是HTTP/1.1，而且選擇過程對應用來說是透明的。
改進HTTP協議（作為資源的統一介面）之中操作語義表達方式的語法，提高網路傳輸效率。
更好地模塊化，這樣HTTP/2.0協議的實現能夠更好地模塊化。應用程序可根據需要選擇適當的模塊，而不是要麼全有、要麼全無。
廢棄掉HTTP/1.1協議中一些很少有人用到的部分，例如採用管道（pipelining）方式發送請求。
增加更多的動詞，以適應除CRUD之外的其他場景。
HTTP/2.0規范不應該做的：
HTTP/2.0協議不應該把底層的數據加密機制（即SSL）作為必選項。
HTTP/2.0協議不應該背離REST架構風格的約束，尤其是要確保操作語義對於中間組件的可見性。
在上面這兩個方面，Roy Fileidng曾經與SPDY協議設計者Mike Belshe發生過激烈爭論，詳情請看：Roy Fielding談Google SPDY協議
李建業：對此規范關注不多，不知道會不會有對於流的支持，目前我所知道的只有chunk方式進行簡單的支持，但是真正的流需要區分數據通道和控制通道——哪怕是邏輯上的區分，這樣就直接對REST風格產生了很大沖擊，考慮到流式服務在未來的發展潛力，我特別期待業界在這方面有所進展。
丁雪豐：HTTP 2.0很大程度上是借鑒了Google的SPDY，就我而言，首先，希望這個規范能做到與HTTP 1.1的兼容，使用者如果只認識1.1，那麼2.0能優雅「降級」；其次，希望2.0能帶來更好的性能，SPDY在這方面還是有所改進的，希望HTTP 2.0能再接再厲；最後，希望這個規范能在最終定稿時附帶一個最佳實踐，正確引導人們合理地使用HTTP 2.0。
馬鈞：沒研究過，估計即使出來，1.1還有很長的生命周期，不會很快被取代。

⑷ 程序員應該如何設計更優雅的Token認證方式

把認證信息保存在客戶端，關鍵點就是安全的驗證，如果能解決認證信息的安全性問題，完全可以把認證信息保存在客戶端，服務端完全無認證狀態，這樣的話服務端擴展起來要方便很多。關於信息的安全解決方案，現在普遍的做法就是簽名機制，像微信公眾介面的驗證方式就基於簽名機制。簽名，就是只有信息的發送者才能產生的別人無法偽造的一段數字串，這段數字串同時也是對信息的發送者發送信息真實性的一個有效證明。當用戶成功登系統並成功驗證有效之後，伺服器會利用某種機制產生一個token字元串，這個token中可以包含很多信息，例如來源IP，過期時間，用戶信息等， 把這個字元串下發給客戶端，客戶端在之後的每次請求

4.適用性更廣：只要是支持http協議的客戶端，就可以使用token認證。

5.服務端只需要驗證token的安全，不必再去獲取登錄用戶信息，因為用戶的登錄信息已經在token信息中。

6.基於標准化:你的API可以採用標准化的 JSON Web Token (JWT). 這個標准已經存在多個後端庫（.NET, Ruby, Java,Python,PHP）和多家公司的支持（如：Firebase,Google, Microsoft）.

⑸ 如何實現RESTful Web API的身份驗證

最近想拿一個小項目來試水RESTful Web
API，項目只有幾個調用，比較簡單，但同樣需要身份驗證，如果是傳統的網站的話，那不用說，肯定是用戶名+密碼在登錄頁獲得登錄Token，並把登錄
Token記在Cookie和Session中作為身份標識的這種方式，但現在不同了，關鍵是RESTful，這意味著我們設計出來的這些API是無狀態
的（Stateless），下一次的調用請求和這一次的調用請求應該是完全無關的，也就是說，正宗的RESTful Web
API應該是每次調用都應該包含了完整的信息，沒錯，包括身份信息！

那如何確保安全？傳輸時給密碼做MD5加密？得了吧！這樣做只能讓你自己感覺「安全」點，其實沒什麼任何用處，利用現在的技術（有種叫什麼Rainbow Table啥的來著？本人外行，不是很懂）很快就能算出明文密碼了，而且如何防止挾持和重發攻擊？

也許你想到了，SSL，如果你打算採用SSL，請忘記一切自行設計的加密方案，因為SSL已經幫你做好了一切，包括防止監聽，防止挾持，防止重發……一切都幫你考慮好了，你大膽地把明文密碼寫在你的包中就OK了，我向你保證沒問題。

但SSL的缺點是伺服器端配置相對有點復雜，更關鍵的就是客戶端對此支持可能不好，那你考慮一種自己的加密方法，有木有？我這里提供一種方法，思路來自
於：http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-
authentication/，我只是把上面的內容中整理了一下變成了我的方法。（傳說中的剽竊？呵呵）方法描述如下：

假設有一個用戶，用戶名是guogangj，密碼是123456（呃……這也能叫密碼？）
他要GET http://test.com/api/orders/
於是把 http://test.com/api/orders/這個URL和一個新生成的GUID拼在一起，再用123456這個密碼執行對稱加密，生成的密文為XXXXOOOOXXXXOOOO（假設而已）
數據包中帶上用戶名guogangj和XXXXOOOOXXXXOOOO這個密文，發送給伺服器
伺服器收到包後，根據guogangj這個用戶名到資料庫中查找到123456這個密碼
伺服器使用123456這個密碼來解密XXXXOOOOXXXXOOOO這個密文，得到了明文，即http://test.com/api/orders/這個URL和前面由客戶端生成的那個GUID
伺服器到一個全局的集合中查找這個GUID，看看是否已經存在，如果存在，則驗證不通過，如果不存在，就將其放入這個集合中。這是為了避免重發攻擊。這個全局的集合會越來越大，所以還要定期清理。
伺服器再比對解密出來的URL和用戶真實請求的URL是否一致，如果一致，那麼認為這是合法用戶，驗證通過！

這是大致過程，如果資料庫里找不到該用戶，或者解密錯誤，都被認為驗證不通過。以下是一些改進：

資料庫中的密碼最好做一下摘要（MD5之類的），客戶端對應地也要做一下。
在生成密文的時候可以考慮加入另外一些不希望被明文傳輸的敏感內容，甚至可以加入IP地址，並在伺服器端驗證。
並
非每次都要真正去資料庫里拿一次用戶信息，也許你有更好的辦法，比如一個簡單的緩存（不過需要處理緩存更新的問題），或者當你的系統大到一定程度的時候，
你考慮使用統一的服務來獲取用戶信息，這就不是緩存那麼簡單了，裡面的文章很多，我相信現在大規模的門戶網站都有自己的一套復雜的機制，所以表明上看
RESTful Web API很「低效」，但這種RESTFul的思路和模式卻在實際中有很大的可塑性和威力。

這種方法應該足夠安全了！

密碼根本沒有在網路上傳輸，密文採用的是非驗證的對稱加密，沒有密鑰就無法逆轉，URL驗證避免了傳統的身份挾持攻擊（即攔截一個用戶的包並冒充此用戶來訪問其它的資源，即便無法破解用戶密碼）， 再用GUID來避免了重發攻擊，唯一需要擔心的是用戶泄露了自己的密碼。

⑹ java做的restful通過(API key或者token)認證方式的代碼是怎樣的最好能提供例子,坐等高手回答，急急急！

你提供一個n位的字元串，讓客戶調用的時候傳遞過去，讓人的伺服器驗證是否你提供的。——當然這個字串是有演算法的，不是隨便寫的。

⑺ RESTful 的 token 放在哪裡好

REST 服務的安全，一般依賴於HTTP認證，

HTTP認證有幾種：basic，digest，token，這些都有標準的實現的開源包

需要主要的是這個認證的帳號跟你業務的帳戶實際是不一樣的，

REST屬於webService一種，他的安全是後台服務的安全，

因此不需要實際的業務帳號，通常是系統keyStore證書庫里的賬戶.

⑻ 如何使用RestTemplate訪問restful服務

一. 什麼是RestTemplate
傳統情況下在Java代碼里訪問restful服務，一般使用Apache的HttpClient。不過此種方法使用起來太過繁瑣。spring提供了一種簡單便捷的模板類來進行操作，這就是RestTemplate。
二、舉個例子。 //請求地址
String url = "http://localhost:8080/testPost";
//入參
RequestBean requestBean = new RequestBean();
requestBean.setTest1("1");
requestBean.setTest2("2");
requestBean.setTest3("3");

RestTemplate restTemplate = new RestTemplate();
ResponseBean responseBean = restTemplate.postForObject(url, requestBean, ResponseBean.class);
從這個例子可以看出，使用restTemplate訪問restful介面非常的簡單粗暴無腦。(url,
requestMap, ResponseBean.class)這三個參數分別代表 請求地址、請求參數、HTTP響應轉換被轉換成的對象類型。
RestTemplate方法的名稱遵循命名約定，第一部分指出正在調用什麼HTTP方法，第二部分指示返回的內容。本例中調用了restTemplate.postForObject方法，post指調用了HTTP的post方法，Object指將HTTP響應轉換為您選擇的對象類型。
三.手動指定轉換器(HttpMessageConverter)

我們知道，調用reseful介面傳遞的數據內容是json格式的字元串，返回的響應也是json格式的字元串。然而restTemplate.postForObject方法的請求參數RequestBean和返回參數ResponseBean卻都是java類。是RestTemplate通過HttpMessageConverter自動幫我們做了轉換的操作。

默認情況下RestTemplate自動幫我們注冊了一組HttpMessageConverter用來處理一些不同的contentType的請求。
如StringHttpMessageConverter來處理text/plain;來處理application/json;來處理application/xml。
你可以在org.springframework.http.converter包下找到所有spring幫我們實現好的轉換器。
如果現有的轉換器不能滿足你的需求，你還可以實現org.springframework.http.converter.HttpMessageConverter介面自己寫一個。
四.設置底層連接方式
要創建一個RestTemplate的實例，您可以簡單地調用默認的無參數構造函數。這將使用java.NET包中的標准Java類作為底層實現來創建HTTP請求。

但很多時候我們需要像傳統的HttpClient那樣設置HTTP請求的一些屬性。RestTemplate使用了一種很偷懶的方式實現了這個需求，那就是直接使用一個HttpClient作為底層實現......
五.設置攔截器(ClientHttpRequestInterceptor)
有時候我們需要對請求做一些通用的攔截設置，這就可以使用攔截器進行處理。攔截器需要我們實現org.springframework.http.client.ClientHttpRequestInterceptor介面自己寫。

以上是如何使用RestTemplate方便快捷的訪問restful介面。其實RestTemplate的功能非常強大

⑼ yii2 restful 的access token 有什麼用 和userid 有什麼區別

我在這里簡單說一下，具體你要看文檔，我不想重復官方的工作！
restful 配置一般需要：
controller 以及對於的model，還有配置文件中的urlManager（這個是否必須就不知道了，沒測試過）

它首先是有一個控制器，在控制器裡面(extends \yii\rest\ActiveController)，定義一個$modelClass
屬性，這個屬性是對應的Model類文件（必須有，不然出錯），

假設：NewsController News Model
然後通過瀏覽器訪問 ./news的話
就會以一些格式輸出news model對應的資料庫表中的數據
其他的請瀏覽官網文檔，

我這里所說的是yii2的，yii1的就不清楚了，註：有實踐過restful，不是亂說，但只是簡單試過。
具體細節可以看下別人分享的經驗，以及官方文檔（建議看文檔）

⑽ 如何做能提供RESTful的安全性

可以自己搞個簡單的：如你要請求一個url，必須前一步調用一個認證獲取一個token（可以是一串唯一uuid）准入的令牌。在把token帶入你要請求的url的header上。
你這樣行不通吧，獲取token的url，客戶端也是可以發現的，我先請求你的token url，然後以後的請求我也把token 帶人請求的url header。
等於還是偽造了，你的請求，個人覺得，只能防止一點點，還得從伺服器防火牆上屏蔽一些ip請求之類的。