Nea*_*eal 26 security authentication authorization web-services token
我想创建一个可以被各种平台调用的Web服务体系结构,例如移动设备,winforms应用程序,iphone,黑莓,你可以命名它.因此,使用像WCF和wsHttp绑定这样的东西可能会导致这种情况失败,我需要降级到basicHttp绑定以实现兼容性.
话虽如此,我需要一个系统在初始登录(身份验证)时生成令牌,然后使用此令牌进行所有后续调用,我想,验证身份验证并允许该方法执行.
任何人都有关于如何解决这个问题的提示或建议?1)生成令牌以及安全令牌中涉及的内容?2)令牌有多长时间,一些用户可能会使用他们的应用程序几个小时甚至可能"睡眠"他们的计算机
谢谢你的建议.
Kar*_*son 16
如果您只使用服务器在初始身份验证时提供的一个令牌,则可以将其用于任何请求(如果已截获).你唯一的防守是到期时间.
除此之外,它取决于您的实施选项.
更安全的系统是为每个请求添加时间戳(可能还有一个nonce),对其进行签名,并在每个请求中包含该时间戳.它要求客户端处理身份验证凭据,了解签名实现并签署每个请求.
您可以选择让服务器对每个请求进行身份验证(可以使用OpenID进行身份验证),也可以分发许多令牌,并在需要更多请求时重新进行身份验证(可以使用OAuth完成).如果客户端可以存储凭据,则这些凭据对用户是不可见的.这些更复杂,需要加密传输(如SSL)进行某些交互,以及客户端可以说HTTP重定向并处理cookie或其他存储状态.客户端不必知道如何签名,但如果您可以执行SSL,则可能首先不需要复杂性.
如果您不需要与客户端无关,则可能需要签署请求.
要签署实现,示例和库,请查看Amazon Web Services,OpenID或OAuth.
关于令牌到期时间,这取决于您的需求.更长的令牌寿命会增加窗口重放攻击.随机数使用令牌一次性使用,但在服务器上需要更多状态.
| 归档时间: |
|
| 查看次数: |
34677 次 |
| 最近记录: |