Не понимаю как осуществить аунтефикацию, если rest не имеет состояния.

Blazkowicz,

то есть у клиента есть некоторый идентификатор(секретный), который он передает серверу, который надо передавать при каждом http запросе?

как этот токен генерировать?

я пока ещё ничего не использую, просто примериваюсь.

Идея передавать каждый раз логин и пароль понятна. В принципе наверное 2 небольших строки каждый раз передавать не особенно накладно, но морально как-то не очень.

А вот с токеном как-то не ясна сама суть.

и добавлю:

Есть некоторая система, она предоставляет функции. Естественно эта система под аунтефикацией. Часть этих функций предоставляется через веб сервисы, эти сервисы не должны быть доступны кому попало.

Atum1,
вообще spring, но я бы не хотел к этому привязываться.

в чем суть не понимаю.

Atum1,

не не не....

мне непонятна сама идея этого токена. ну вот сервер же как-то его создать должен, потом он должен его передать клиенту.

Сергей Арсеньев,

а ключ как передать?

redwhite90,

ну и даже если передать, то что?

сервер шифрует текущее время каким-то ключом, получает code.
code получает клиент. и что дальше? может он узнать время и что это нам даст?

Сергей Арсеньевredwhite90,
Сергей АрсеньевНапример по https
Решение не идеальное.

окей, если у клиента есть права пользоваться веб-сервисом, то у него есть rsa ключ.

я сейчас вижу 2 варианта
1. пускай клиент передаёт этот ключ на сервер при каждом вызове сервиса и сервер проверяя этот ключ решает выполнить запрос или нет.
2. не передавать ключ на сервер.
a)запрос, который не меняет состояние на сервере. Что нить типа getPlayer()
сервер возвращает зашифрованные ключом данные и клиент, если у него есть ключ сможет расшифровать всё.

b)запрос, который может поменять состояние на сервере. Что нить типа deletePlayer()
вот тут мне непонятно как быть.

Сергей Арсеньев,

Допустим канал связи защищён и никто взломать не может.

а что такое соль?