Tag: web应用程序
为什么没有官方的JavaScript参考?
我试图searchJavaScript引用,但没有可用的。 最好的两个build议的来源是MDN(Mozilla开发者networking)和W3Schools。 为什么?
Wireshark vs Firebug vs Fiddler – 优点和缺点?
最近,我遇到了一个CGI应用程序没有响应的问题。 症状是Firefox显示: 从本地主机传输数据… 但事情是我看不到任何来自Firebug的networking面板的stream量,而浏览器永远停留在同一个舞台上。 我正在考虑debugging这个应用程序的方法,但是我看不到源代码或其编译的Java / C ++组件,因此我认为HTTPnetworking级别的诊断是一个好的开始。 我在Fiddler和Wireshark方面没有什么经验,只是想知道他们会在HTTPnetworking级别获得更好的反馈/统计吗? 我听说Wireshark是先进的,但可能会引入大量的stream量,所以系统pipe理员不太喜欢它。 在这个时候,我认为Firebug并没有真正向我展示足够的信息。 我需要收集信息,以便我可以作为证据转发给客户。
用xpathselect一个css类
我只想自己select一个叫做.date的类 出于某种原因,我无法得到这个工作。 如果有人知道我的代码有什么问题,将不胜感激。 @$doc = new DOMDocument(); @$doc->loadHTML($html); $xml = simplexml_import_dom($doc); // just to make xpath more simple $images = $xml->xpath('//[@class="date"]'); foreach ($images as $img) { echo $img." "; }
身份validation和资源服务器之间的OAuth v2通信
我在理解OAUTH-v2如何工作方面遇到一些麻烦。 OAuth版本2规范显示: 访问受保护的资源 客户端通过访问来访问受保护的资源 令牌给资源服务器。 资源服务器必须validation 访问令牌并确保它没有过期,并且其范围覆盖 请求的资源。 资源服务器使用的方法 validation访问令牌(以及任何错误响应) 超出了本规范的范围 ,但通常涉及资源服务器和授权之间的交互或协调 服务器 。 资源服务器和授权服务器之间的这种交互在实践中如何工作? 资源服务器如何确定它所接收的访问令牌是有效的? 资源服务器如何从令牌中提取允许的范围,以查看是否应将访问权限授予特定的资源? 访问令牌中是否编码了范围,还是资源服务器首先必须联系授权服务器? 资源服务器和授权服务器之间的信任如何build立? 访问令牌属性以及用于访问受保护资源的方法超出了本规范的范围,并由配套规范定义。 有人可以给出令牌属性的例子吗?
保护REST API而不重新发明轮子
在deviseREST API时,通常先validation用户身份? 我正在寻找的典型用例是: 用户想要获取数据。 当然很酷,我们喜欢分享! 获取一个公共API密钥并阅读! 用户想要存储/更新数据…哇等等! 你是谁,你能做到吗? 我想build立一次,并允许说一个networking应用程序,一个Android应用程序或iPhone应用程序来使用它。 REST API似乎是这样的需求的合理select 为了说明我的问题,我将使用一个简单的例子。 我有一个数据库中的项目,它有一个评级属性(整数1到5)。 如果我正确理解REST,我将使用我select的语言来实现GET请求,该语言返回如下所示的csv,xml或json: http://example.com/product/getrating/{id}/ 说我们select我们返回的JSON: { "id": "1", "name": "widget1", "attributes": { "rating": {"type":"int", "value":4} } } 这对于面向公众的API来说很好。 我得到那部分。 我有很多问题是如何将这与安全模型相结合? 我习惯了networking应用程序的安全性,我有一个会话状态在任何时候都可以识别我的用户,所以我可以控制他们可以做什么,不pipe他们决定发送给我什么。 据我所知,这不是RESTful,所以在这种情况下将是一个不好的解决scheme。 我会尝试使用相同的项目/评级的另一个例子。 如果用户“JOE”想要添加评级到一个项目 这可以使用: http://example.com/product/addrating/{id}/{givenRating}/ 在这一点上,我想存储的数据说,“JOE”给了产品{id}评级{givenRating}。 问:我怎么知道请求来自“JOE”而不是“BOB”。 此外,如果是用户的电话号码更合理的数据呢? 我到目前为止是: 1)使用HTTP的内置function在每个请求进行身份validation,无论是纯HTTP还是HTTPS。 这意味着每个请求现在都采取以下forms: https://joe:joepassword@example.com/product/addrating/{id}/{givenRating}/ 2)像私人和公共密钥一样使用Amazon S3的方法: http : //www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/ 3)无论如何都要使用cookie,并打破REST的无状态部分。 第二种方法对我来说似乎比较好,但是我还想知道我是否真的必须重新发明这整个事情呢? 散列,存储,生成密钥等都由我自己? 这听起来很像在典型的Web应用程序中使用会话,并自己重写整个堆栈,通常我的意思是“你做错了”,特别是在处理安全性时。 编辑:我想我应该提到OAuth以及。
如何在RESTful Web服务中实现login?
我正在构build一个带有服务层的Web应用程序。 服务层将使用RESTfuldevise来构build。 我们的想法是,将来有一段时间我们可能会构build其他应用程序(iPhone,Android等),它们使用与Web应用程序相同的服务层。 我的问题是这个 – 我如何实现login? 我想我在从一个更传统的基于动词的devise转向基于资源的devise方面遇到了麻烦。 如果我用SOAP构build这个,我可能会有一个名为Login的方法。 在REST中,我应该有一个资源。 我很难理解如何构build我的URIlogin。 应该是这样的: http:// myservice / {用户名}?p = {密码} 编辑:前端Web应用程序使用传统的ASP.NET框架进行身份validation。 但是,在身份validation过程中,我需要validation提供的凭据。 在传统的Web应用程序中,我将执行数据库查找。 但在这种情况下,我正在调用一个服务,而不是做一个数据库查询。 所以我需要一些服务来validation提供的凭据。 除了validation所提供的证书之外,我还可能在成功通过validation之后还需要一些有关用户的信息,比如他们的全名,ID等等。我希望这个问题更清楚。 还是我没有想到这个正确的方法? 我觉得我很难正确描述我的问题。 科瑞
什么是tempuri.org?
为什么tempuri.org存在? 为什么每个XML Webservice都需要自己的名称空间,这是独一无二的?
pushState和SEO
很多人一直在说,使用pushState而不是hashbang。 我不明白的是,如果不使用hashbang,你将如何search引擎友好? 推测你的pushState内容是由客户端JavaScript代码生成的。 该情景因此是: 我在example.com 。 我的用户点击一个链接: href="example.com/blog" pushState捕获点击,更新URL,从某处抓取JSON文件,并在内容区域创build博客文章列表。 随着hashbangs,谷歌知道去escaped_fragmenturl获取其静态内容。 使用pushState,Google只是看不到任何东西,因为它不能使用JavaScript代码来加载JSON并随后创build模板。 唯一能做的就是在服务器端渲染模板,但是这完全否定了将应用层推送到客户端的好处。 所以,我得到这个权利,pushState是不友好的客户端应用程序的search引擎优化?
如何保护RESTful Web服务?
我必须实现安全的REST风格的Web服务 。 我已经做了一些使用谷歌的研究,但我卡住了。 选项: TLS(HTTPS)+ HTTP基本(pc1oad1etter) HTTP摘要 双腿 OAuth 基于Cookie的方法 客户端证书(Tom Ritter和这里 ) 使用HMAC签名的请求和有限的生命周期 有更多可能的select考虑? 如果OAuth那么什么版本? 它甚至重要吗? 从迄今为止我读到的OAuth 2.0与无记号(没有签名)似乎是不安全的 。 我发现了另一篇关于基于REST的authentication的非常有趣的文章。 保护您的REST API …正确的方法
JAX-RS和JAX-WS有什么区别?
在阅读了一些关于JAX-RS和JAX-WS的文章之后,我有几个问题想要确认? JAX-RS可以像JAX-WS一样执行asynchronous请求吗? JAX-RS是否可以访问未在Java平台上运行的Web服务,反之亦然? “REST对于PDA和手机等有限的设备特别有用”是什么意思? “JAX-RS不需要XML消息或WSDL服务-API定义是什么意思?
