【发布时间】:2016-10-11 14:08:23
【问题描述】:
我正在构建一个托管在 Azure 云中的 .NET Web API 应用程序,它需要使用托管在公司内部网中的不同 API。假设我正在构建两个 API。
客户端 = Azure .NET Web API 服务器 = 内网 API
我需要知道保护从客户端到服务器的请求的最安全方法。这是我登陆的地方:
- 2-Leged OAuth
- 双向 TLS
- 用户名/密码
我喜欢两条腿的 OAuth,因为它的简单性和令牌方法,但我觉得这是不安全的,因为如果密钥被泄露,整个方法就会被破坏。
相互 TLS 似乎是最安全的,尽管工作量最大。
用户名和密码似乎不再相关(或与前两个一样安全)。
问题我是坚持使用 Mutual TLS,还是我的假设不正确?另外,我可以采取其他方法吗?
免责声明 - 有类似的帖子,但我认为他们没有详细说明每个人带来的安全级别,也没有很好地解释为什么他们应该使用一个而不是另一个。
【问题讨论】:
标签: security asp.net-web-api oauth mutual-authentication