Прошу помочь разобраться в вопросе реализации аутентификации в REST
Привет, всем!
Пишу веб-приложение на Python-е с применением микрофреймворка Flask. Сейчас передо мною стоит задача реализации механизма аутентификации пользователей и выдачи ресурсов только авторизованным пользователям.
Читая ресурсы:
У меня сформировалась "каша" в голове. Прошу поделиться своим опытом.
А пока у меня в голове понимание такое:
- Приложение должно работать строго по HTTPS
- Запросы к приложению должны содержать токены
- Приложение может содержать какой-либо URL вида 'my-service.ru/v1/token' передавая в HTTP POST-запросе username/password можно получить токен с действием на час
Смущает то что передача пароля в открытом виде, пусть даже и по HTTP(S). Но лучшего пока не могу придумать.
Как же все-таки соблюсти Stateless-ограничение и при этом правильно принять credentials от пользователя чтобы выдать ему токен?
UPD: Верно ли что что HTTP аутентификация Digest-типа это сессионный тип аутентификации?
UPD2: Некоторые подробности работы моего приложения:
- Мое приложение предназначено для работы с "роботами"
- Я завожу нового пользователя в базу данных о пользователях в ручную и выдаю credentials этому пользователю. Он в свою очередь настраивает своего "робота" для дальнейшей работы в автоматическом режиме без участия человека
- Весь принимаемый и передаваемый трафик будет шифроваться, по этой причине выбрана работа по HTTP(s)
Источник: Stack Overflow на русском