ajs*_*sie 10 authentication oauth basic-authentication digest-authentication
我应该将哪个基本身份验证,摘要身份验证和Oauth用于我的Web应用程序,以允许用户通过Restful API调用访问资源.
取代基本和摘要身份验证不是Oauth更好的解决方案吗?
小智 21
在这里对许多细节进行着色,但是:
http basic:在Authorize标题中的clear中发送用户名和密码
http摘要:发送用户名和密码,其中密码已由服务器提供的nonce进行哈希处理
oauth的两个版本最初旨在授予第三方访问不属于它的资源(例如,我允许移动照片应用程序代表我发布到Facebook),而无需向第三方提供我的凭据.这两个协议基本上如下工作:
oauth1.0a:比oath2更安全,但更难实现也需要签署所有请求.
oauth2:依赖于ssl的安全性,不需要请求签名.虽然它的主要作者已经放弃了该项目,因为他觉得它不符合其最初的设计目标(安全性,互操作性),它被Facebook和谷歌广泛使用.
这里有一些我觉得有用的文章:
没有足够的mojo链接到rfcs,但这些是确定的来源,如果稍微难以消化.
小智 2
我也在尝试找出这个问题的答案。我想说这取决于您想要的应用程序的范围。oAUTH 限制必须构建客户端才能进行握手的开发人员的访问。
Basic 可以与许多数据浏览器客户端(例如 Sesame)配合使用,也可以与 Excel 2010 以及任何旧浏览器配合使用。唯一的问题是密码以明文形式传输,这可以通过通过 https 托管您的应用程序来缓解。
不幸的是,对消化了解不多。
我个人正在尝试测试每个的实现:http basic 和 oauth。
| 归档时间: |
|
| 查看次数: |
8207 次 |
| 最近记录: |