Loc*_*eyu 13 authentication api ssl https oauth
我有两个企业服务器需要以安全的方式进行通信,并且正在使用SSL(使用客户端/服务器证书来验证双方)与使用OAuth 2.0(可选地使用MAC令牌或JWT令牌)的双腿身份验证进行比较.
从历史上看,OAuth似乎是为了完全不同的目的而创建的(三方案例,用户允许服务访问某些地方的某些数据),虽然两条腿现在已集成到OAuth 2.0规范中,看到两条腿的OAuth 2.0似乎没有提供超过SSL的额外保护.
我能想到的唯一一点是OAuth可能比SSL更容易配置,并且容易犯错误,例如接受可能危及安全性的错误SSL证书.但是我不确定这是否足以与OAuth一起使用.
请注意,我提到这些是单独的选项,但我认为使用OAuth可能需要在HTTPS/SSL之上使用它,因此两者都将被使用.
使用OAuth 2.0双管方案进行服务器到服务器通信(没有用户参与)有什么真正的优势吗?
注意:我确实在这里发现了一个类似的帖子,但这已经很老了,但我觉得在这件事上没有得到满意的答案.
小智 17
如果您已经知道这一点,请道歉,但在您的帖子中并不清楚.
OAuth和SSL\TLS是OSI模型的两个独立层.OAuth用于身份验证,在第7层中位居第一,而SSL\TLS用于第4层中的传输安全性.很容易将SSL与客户端证书混淆,因为它们都使用PKI.
您对OAuth的理解是正确的...它用于授权个人而非组织\服务器.两条腿OAuth是一个包含各种替代OAuth流的术语,所有这些都不符合标准.
在我看来,您希望使用客户端证书来保护您的服务器 - 服务器通信...所有真正需要的是单个x509证书,可以用作SSL(传输安全性)和客户端证书(授权); 虽然使用2个证书是常态.
我会回复这个评论:
\n\n\n\n\n我的问题是,假设我使用带有适当客户端/服务器证书的 SSL 来识别每台计算机,那么在此基础上使用 OAuth(2 条腿或类似的)来向彼此授权服务器的价值是什么(假设没有用户参与) )。感谢 \xe2\x80\x93 洛克斯利尤
\n
摘要:我懒得同时做这两件事。
\n\n详细信息:2 足 OAUTH 的安全性取决于消费者秘密的安全性。同样,相互身份验证 SSL 的安全性取决于私钥。我假设您将把它们存储在每台服务器上的某个加密存储中。由于两者都存储在同一位置,因此我认为添加 OAUTH 不会带来额外的安全性。
\n\n现在,如果您正在考虑在相互身份验证 SSL 和带身份验证的标准 SSL 之间进行选择,也许 OAUTH 可以在那里发挥作用。我会选择那些看起来更容易的选项。因此,如果您有一个 OAUTH 系统并且可以轻松地向其中添加服务器身份验证,也许这就是正确的选择。否则,只需使用相互身份验证 SSL。配置起来往往有点麻烦,但一旦设置好,就可以很好、快速地工作。
\n| 归档时间: |
|
| 查看次数: |
12151 次 |
| 最近记录: |