Die übergabe von Parametern in der Kopfzeile der Nachricht mit einer REST-API

Ich bin die Entwicklung einer REST-API und ich muss versandtechnischen Kryptogramme zur Authentifizierung der Nachricht für jede Anfrage in einem applicative-Verfahren (MAC-Verschlüsselung von geheimen Schlüsseln). Ich dachte über Sie, Sie in den message-header, um zu vermeiden, hinzufügen von nicht-Daten-Informationen, die im message-body enthält die geschrieben/abgerufen Objekt (XML oder JSON).

Ist es eine best Practice ?

Kann ich hinzufügen, da viele Parameter möchte ich in der Kopfzeile ? Ich habe gelesen, dass ich muss-Präfix mit "x-". Das Verhalten dieses Parameters ist genau das gleiche als Pfad oder Query params ?

Bin ich mit Jersey.

Danke für Sie Hilfe.

  • Additonnal Frage : ist es besser, die bestehenden header-Parameter (Datum, Autorisierung), oder das erstellen von spezifischen (x-app-Datum, wird x-app-auth) ?
InformationsquelleAutor Zofren | 2010-10-08
  1. 8

    1. Ja, ich glaube, es ist zulässig, header-Parameter zur übertragung bestimmter Daten. Die JAX-RS-standard selbst definiert die @HeaderParam annotation. Einfache Beispiel @HeaderParam.

    2. Es ist eine Konvention für das Präfix non-standard http-Header mit "x-".

    Ich hatte eine ähnliche situation, um Ihnen: ich brauchte, um die übertragung von user-und token-ID der Anwendung mit jeder REST-Aufruf. Um zu vermeiden, code-Duplizierung, das ich umgesetzt habe PreProcessInterceptor (ich bin mit Resteasy), durch die alle ÜBRIGEN Anfragen werden weitergeleitet. Wenn Benutzer-token nicht gültig, und wenn der Benutzer nicht über Berechtigungen zum gegebenen Anwendungs-ID, dann habe ich wieder 401 unauthorized. Mein code sah ähnlich wie diese (vereinfachte version):

    @Provider
@ServerInterceptor
public class RestSecurityInterceptor implements PreProcessInterceptor {

    @Override
    public ServerResponse preProcess(HttpRequest request, ResourceMethod method) 
           throws UnauthorizedException {

        String token = request.getHttpHeaders().getRequestHeader("token").get(0);

        //user not logged-in?
        if (checkLoggedIn(token)) {
            ServerResponse response = new ServerResponse();
            response.setStatus(HttpResponseCodes.SC_UNAUTHORIZED);
            MultivaluedMap<String, Object> headers = new Headers<Object>();
            headers.add("Content-Type", "text/plain");
            response.setMetadata(headers);
            response.setEntity("Error 401 Unauthorized: " 
                 + request.getPreprocessedPath());
            return response;
        }
        return null;
    }
}
    • Danke. Der Interceptor Lösung ist elegant, aber meine Authentifizierung wird nicht verallgemeinert, in meiner Anwendung.
    InformationsquelleAutor Peter Knego
Schreibe einen Kommentar