Das wäre ja nicht sehr sicher, denn einmal das richtige Passwort geraten und schon ist der Kanal für immer offen. Kann man das nicht so sicher machen, dass jede Abfrage authentifizert werden muss?
REST selbst ist ja kein Standard oder Technologie, sondern eher eine Sammlung von best practices, um andere Standards und Technologien, insbesondere HTTP, für die Programmierung von Web-Diensten einzusetzen.
D.h. Du kannst prinzipiell jede Art von Authentifizierung nutzen, die Dein Webserver und die darin laufende Webtechnologie unterstützen, z.B. HTTP Basic Authentication, Authentifizierung per Client-Zertifikat, NTLM/Kerberos oder eben, wie von m.fuchs vorgeschlagen, anwendungsseitig im Rahmen deiner Service-Implementierung.
Solange sichergestellt ist, dass jeder URI immer nur ein bestimmtes Ergebnis zurückliefert ist der "Standard" erfüllt. Mehr sagt REST nicht aus. Wenn du jetzt noch zwei Parameter zur Authentifizierung dranhängst ist das völlig Ok. An deinem URI-Format ändert sich deswegen ja nix.
@Karl Ganz so einfach ist es dann auch wieder nicht. HTTPS heißt ja erst mal nur, dass sich der Server gegenüber dem Client mit einem SSL-Zertfikat authentifiziert und anschließend die Kommunikation verschlüsselt abläuft. Für die Authentifizierung der Clients gegenüber dem Server bräuchte jeder Client nochmal ein eigenes Client-Zertifikat. Dafür muss man schon etwas Aufwand treiben. Aber es ist eine Option, habe es deshalb ja auch in meiner Antwort erwähnt.
Hallo Matthias, wer hat denn was von einfach erzählt :) Das mit dem Verteilen ist _allerdings_ "aufwändig" - hat aber den Charme, das wenn du das Ganze im LDAP machst, auch gleichzeitig eine Orgaverwaltung für deine Applikation hast. Aber das ist vielleicht ein wenig "oversized".
/server/tabelle/primarykey
Wie bastel ich denn ein Authentifizierung rein?