【发布时间】:2013-02-03 21:08:22
【问题描述】:
我正在构建一个需要相当安全的 REST API - 不传递任何付款细节,但我想确保帐户不会被劫持。
我已经研究过实现 2 Legged Oauth,但我看不到仅使用基本身份验证而不是 SSL 的任何真正优势(以编程方式生成的高熵 API 密钥作为密码)
2 Legged Oauth 是否比基于 SSL 的 HTTP 基本身份验证更安全?
【问题讨论】:
【发布时间】:2013-02-03 21:08:22
【问题描述】:
HTTPS 是通过 SSL 连接发送的完整 HTTP 数据。
如果您使用 HTTPS,通过 HTTP 基本身份验证发送的数据也会被加密。
基本上,所以应该没什么区别。
不好的可能是您必须使用 HTTP 基本身份验证将密码存储在客户端计算机上。
据我所知,使用 oAuth 只存储一个令牌。
【讨论】:
-
默认情况下,即使使用基本身份验证,HTTP 上的任何数据也不会加密
-
如果您使用 HTTPS,所有 HTTP 数据都会被加密 - 即使是 http 基本身份验证。 HTTPS 不是一个自己的协议,它只是基于 SSL 的 HTTP。
-
现在你已经重写了你的答案我已经删除了我的 -1
-
不确定这是否有助于回答我的问题 - 是否有任何情况下 2 腿 Oauth 会更安全?
-
有可能。它是桌面应用程序吗?如果客户端电脑被木马感染,那么它可能会以纯文本形式读取密码。据我所知,如果您使用 oAuth,则只存储一个令牌,因此黑客不会获得任何密码。