bug*_*ker 6 c# asp.net security authentication api
我正在努力学习Web API和API的方法.
这时,我正在调查身份验证.
我知道API身份验证和授权有多种方法.最常见的似乎是不记名令牌.
我也看到SAML,我也知道x509(从我的WCF时代开始).
我今天想谈谈不记名令牌.承载令牌作为标头传递.标题未加密可能没有加密?因此,有人可能会抓住所述标记并在未经同意的情况下冒充用户.这是我对持有人令牌的看法.今天许多流行的服务似乎都使用这种API验证方法.
除了持票人令牌之外还有哪些其他选择但是或多或少与HMAC消息一样安全等等?
我似乎对许多身份验证方法有所了解.我试图了解更多,并希望构建一个非常安全的API,允许SSO(单点登录) - 如果承载令牌是要走的路,那么很好,它是非常容易和开箱即用的解决方案.如果有更好,更安全的东西,即使工作和时间远远超过持票人,我仍然愿意接受.
我不知道为什么我不喜欢不记名令牌的声音,但它似乎很容易攻击和利用.特别是对于支付相关类型的服务.
谢谢!
| 归档时间: |
|
| 查看次数: |
2283 次 |
| 最近记录: |