我正在努力学习Web API和API的方法 .
这时,我正在调查身份验证 .
我知道有几种方法可以进行API身份验证和授权 . 最常见的似乎是不记名令牌 .
我也看到了SAML,我也知道x509(从我的WCF时代开始) .
我今天想谈谈不记名令牌 . 承载令牌作为标头传递 . Headers 未加密可能没有加密?因此,有人可能会 grab 所述标记并在未经同意的情况下冒充用户 . 这是我对持有人令牌的看法 . 今天许多流行的服务似乎都使用这种API验证方法 .
除了持票人令牌之外还有哪些其他选择但是或多或少与HMAC消息一样安全等等?
我似乎对许多身份验证方法有所了解 . 我试图了解更多,并希望构建一个非常安全的API,允许SSO(单点登录) - 如果承载令牌是要走的路,那么很好,它是非常容易和开箱即用的解决方案 . 如果有更好,更安全的东西,即使工作和时间远远超过持票人,我仍然愿意接受 .
我不知道为什么我不喜欢不记名令牌的声音,但它似乎很容易攻击和利用 . 特别是对于支付相关类型的服务 .
谢谢!
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
