Rob*_*rto 17 authentication oauth
我在Beaglebone Black上有多个小型Linux 嵌入式服务器(可以通过RaspberryPi,它没有任何区别)需要与主服务器(托管在Web上)交换信息.
理想情况下,每个系统通过简单的RESTful命令相互通信 - 例如,主服务器向嵌入式服务器发送新配置 - 服务器发回数据.命令也可以由人类用户从主服务器或直接发布到嵌入式服务器.
对每个服务器进行相互认证的最"标准"方式是什么?我在考虑OAuth,假设每台机器都有自己的OAuth用户 - 但我不确定这是否是正确的模式.
jww*_*jww 10
对每个服务器进行相互认证的最"标准"方式是什么?我在考虑OAuth,假设每台机器都有自己的OAuth用户 - 但我不确定这是否是正确的模式.
验证机器与验证用户没有什么不同.他们都是安全负责人.事实上,微软使机器成为Windows 2000中的一流公民.他们可以成为像文件和文件夹这样的安全对象的主体,就像普通用户一样.
(由于服务器通常遭受Gutmann在他的工程安全书中描述的无人值守密钥存储问题,因此有些人挥手致意.
我会使用私有PKI(即,我自己的证书颁发机构)并使用基于SSL/TLS等公钥/私钥对的相互身份验证.这具有重新使用大量基础架构的额外好处,因此HTTP/HTTPS/REST"就像它一直有效".
如果使用专用PKI,请为包含以下密钥用法的计算机颁发证书:
或者,运行私有PKI并仅允许基于PKI使用VPN的服务器之间的通信.您仍然可以隧道传输RESTful请求,其他任何人都无法为您的某个服务器建立VPN.您可以免费获得IP过滤器.
或者使用Kerberos样式协议和密钥分发中心.您将需要整个Kerberos基础结构,包括KDC.根据KDC监管的秘密设置安全通道.
或者,使用类似SSH的系统,公钥/私钥对和sneaker-net将对等方的公钥复制到另一个.仅允许来自其公钥的计算机的连接.
我可能不会使用类似OAuth的系统.在类似OAuth的系统中,您将成为提供者和依赖方.在这种情况下,您可能也是CA并重用SSL/TLS中的所有内容.
| 归档时间: |
|
| 查看次数: |
7834 次 |
| 最近记录: |