Я ссылаюсь на эту прекрасную статью http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/, в которой говорится о безопасности, подобной Amazon для веб-службы. Однако мне задали вопрос в команде, зачем нам это нужно, если мы уже используем HTTPS. Я не смог ответить, так как мне действительно кажется, что они могут быть правы, хотя интуиция говорит мне об обратном.
Также есть ли места при предоставлении услуг REST, где HTTPS может не работать? Понравились сторонние сайты?
Если у кого-то есть опыт защиты веб-сервисов через общедоступные веб-сайты, пожалуйста, расскажите немного о своем опыте.
Заранее спасибо.
РЕДАКТИРОВАТЬ: Чтобы уточнить, я не говорю об аутентификации пользователя, но больше о аутентификации клиента. Аутентификация пользователя может быть принята как обычный текст по HTTPS + REST.
Меня беспокоит то, что это по-прежнему позволяет кому-либо использовать веб-сервис без моего клиента, чтобы получить к нему доступ, поскольку все является открытым текстом, хотя через HTTPS конечная точка клиента все еще может использовать мой веб-сервис без клиентского приложения.