如何对项目暴露的webapi进行安全认证？ 热:配置报错 

介绍了Amazon S3 使用的认证:
http://dodomail.iteye.com/blog/1744389 ######这个很简单啊，把所有参数都做一次加密就是，秘钥你来生成授权给你的下游就是了，后台再做记录ip的的功能，这样谁请求你的API了就都知道了，自己实现也很快的######tokening，或者id这些加密，获取后再解密，密钥自己生成。就是加个验证的key值就可以吧，每次提交数据验证key的正确性###### 做一个认证服务，提供一个认证的webapi，用户先访问它获取token，然后拿着token去访问所有的webapi。每次接收到请求就拿着token找认证服务寻求验证。验证通过则papapa，不然就404。
你要说的是这种么？还是对访问做验证限制？ ######回复 @devilsitan : 也是啊，那你再看看刚刚问的第二个问题######@liujiduo tomcat只是个web服务器。。不明白为什么和它要有关呢。。webapi又不是在tomcat上跑的。######回复 @devilsitan : 还有就是这种给webapi加token认证的方式，应该是我事先给某些指定的APP（比如我的iOS客户端或安卓客户端）发放私钥，然后它们根据私钥获取token。那如果我的网站前端通过ajax访问这些api是不是也需要通过token认证呢？如果是的话那不就会暴露出私钥了吗？先谢谢啦^_^######回复 @devilsitan : 那另一种 基于HTTP Digest认证的方式也是只用代码实现，不需要修改tomcat的配置吗？######@liujiduo 那这种和服务器就没多大关系了啥。。只要你有webapi服务在就行，什么访问都是通过HTTP来请求的。接口也很简单一个认证，一个验证。认证服务内部看你怎么设计，要么是简单的用户-权限，要么是用户-角色-权限，要么是带约束的用户-角色-权限，还有更加灵活的二者皆有，采取优先拒绝。######