Come approccio alla protezione dei servizi web? Posso pensare di utilizzare uno dei due approcci seguenti
- invio di una password per nome utente in ogni richiesta di convalida
- Invio di un token basato sull'ora (GUID o una stringa lunga simile)
Nel primo approccio devo interrogare un database ogni volta nella maggior parte dei casi un RDBMS per autenticare un utente.
Nel secondo ora eseguo l'autenticazione della password del nome utente solo una volta e poi restituisco all'utente un token basato sull'ora. Tutte le richieste commerciali future vengono autenticate tramite questo token. Alla scadenza questo token dovrà essere ricreato dal client chiamante.
Entrambi gli approcci sembrano avere i loro pro e contro. Quale raccomanderesti in quali circostanze e quali sarebbero le tue ragioni per lo stesso? Forse una condizione specifica in cui si preferisce l'altro.