Kar*_*ran 6 security authentication api mobile session-cookies
是否有任何理由不将cookie /会话用于浏览器通常使用的本机移动应用程序,以便对我的服务器进行身份验证以及后续的API调用?
澄清:似乎移动客户端上事实上的身份验证方法是基于令牌的系统,如OAuth/XAuth.为什么传统的浏览器方法不够用?
这取决于您的应用程序(更准确地说是您的威胁场景)。
一些最常见的威胁是 - 窃听(-> 应该加密) - 中间人(-> 必须验证另一方) - ...你的是什么?(你的 cookie 存储有多安全,......)
Cookie 最初仅保存一个令牌,作为您有时已成功进行身份验证的证据。如果 cookie 的有效期足够长或传输未加密,那么很有可能有一天有人会发现......
此外,您必须考虑采取了哪些额外的安全措施,首先也是最重要的 SSL。
您的身份验证方法是什么(客户端需要什么凭据才能登录)?您是否可以使用基于 PPK 基础设施的身份验证,或者通信是“临时”的吗?
编辑
沃特。OpenAuth:据我了解该协议,其主要关注的是身份验证委托。您授权代理代表另一个身份执行某些非常具体的任务的场景。这样您就不会将您的凭据分散在整个网络上。如果您有 OpenAuth,客户端也可以直接使用该协议。那么为什么还要添加另一个呢?但 OpenAuth 明确指出,在直接客户端场景中,您会再次遇到安全问题,因为现在令牌在设备上可用,并且必须进行相应的保护(就像您必须对 cookie 所做的那样)。
| 归档时间: |
|
| 查看次数: |
4277 次 |
| 最近记录: |