身份驗證 · HTTP 接口設計指北

## 身份驗證部分接口需要通過某種身份驗證方式才能請求成功（這些接口**應該**在文檔中標注出來），合適的身份驗證解決方案目前有兩種： * [HTTP 基本認證](http://zh.wikipedia.org/wiki/HTTP%E5%9F%BA%E6%9C%AC%E8%AE%A4%E8%AF%81)，**只有在部署了 SSL 證書的情況下才可以使用，否則用戶密碼會有暴露的風險，當然，最好不要使用** * [JSON Web Token](https://tools.ietf.org/html/draft-ietf-oauth-json-web-token-25)?，支持通過登錄接口使用賬號密碼獲取，在請求接口時使用?`Authorization: Bearer #{token}`?頭標或者?`token`?參數的值的方式進行驗證。 * [Json Web Tokens: Introduction](http://angular-tips.com/blog/2014/05/json-web-tokens-introduction/) * [Json Web Tokens: Examples](http://angular-tips.com/blog/2014/05/json-web-tokens-examples/) * [Cookies vs Tokens. Getting auth right with Angular.JS](https://auth0.com/blog/2014/01/07/angularjs-authentication-with-cookies-vs-token/) * [OAuth 2.0](https://tools.ietf.org/html/rfc6749) * [官網](http://oauth.net/2/) * [理解OAuth 2.0 - 阮一峰](http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html)?以及對[文中?`state`?參數的介紹的修正](http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html#comment-323002)