【发布时间】:2009-12-29 17:24:56
【问题描述】:
我正在构建一个使用 HTTP 进行通信的非浏览器客户端-服务器 (XULRunner-CherryPy) 应用程序。我现在正在思考的领域是用户身份验证。由于我没有丰富的安全知识,因此我更喜欢使用久经考验的方法和现成的库,而不是尝试自己发明和/或构建一些东西。
我最近一直在阅读很多文章,我可以说我留下的只是很多挫败感,其中大部分来自 this 和 this 博客帖子。
我认为我需要的是:
- 在数据库中安全存储密码(自适应哈希?)
- 用户凭据的安全有线传输(摘要式身份验证?SSL?)
- 后续请求的安全令牌身份验证(不确定)
所以问题是:实现这一点的现代(最好是无头痛)技术和/或库是什么? (不会存储敏感信息,例如信用卡号)。
我一直在研究 OAuth,他们有一个强烈推荐使用的新版本。问题是文档仍在开发中,没有库实现新版本 (?)。
【问题讨论】:
标签: python authentication client-server xulrunner