HTTPS 或其他巧妙的身份验证方法

Question

一点背景知识：我将构建一个网络服务器，当我开始着手时，它可能是最新版本的 apache。它将使用我拥有的临时安全系统的感官信息进行更新。

作为同行，我正在设计一个与之配套的应用程序，它将自动联系网络服务器并每 1.5 分钟提取一次感官信息。

我希望有一种身份验证方法，以便普通 Bob 看不到这些信息，这主要是因为服务器中也会有一些命令和控制。

问题：我觉得简单的用户名和密码是错误的方法，因为它不是动态的，理论上看到频繁发送的相同凭据可能很危险，所以有没有其他身份验证方法可以减轻这种情况？

问题pt。 2：显然我想要一个加密通道，如果它每分半钟都尝试重新协商，https会不会自己绊倒？

我还没有开始这个项目，更不用说选择任何语言来编写它了，这意味着我对建议非常开放，非常感谢任何帮助。

Answer 1

问题：我觉得一个简单的用户名和密码是错误的 解决这个问题的方法，因为它不是动态的和理论上的 频繁发送的相同凭据可能很危险，因此也是 还有其他身份验证方法可以缓解这种情况吗？

您可以使用Google Sign-In 允许通过 Google 帐户登录。

或者您可以使用Google Authenticator 或通过短信实现两因素身份验证，以证明登录的用户具有多个身份验证因素。这些因素可能是：

• 您知道的信息（例如密码）
• 您拥有的东西（例如提供一次性密码的手机）

编辑：重新阅读您的问题 - 是的，您可以使用用户名和密码（通过 HTTPS）进行身份验证，但是您应该在客户端存储会话标识符并简单地将其发送未来而不是每次的用户名/密码。这更安全，因为它可以安全地存储在客户端，并且如果暴露，标识符可以很容易地被撤销。

问题pt。 2：显然我想要一个加密通道，将https 如果它试图每隔一分半钟重新谈判一次，就会绊倒自己？

不，这就是它的设计目的。浏览器将在一段时间内保持打开 HTTPS 连接。此外，在需要建立新连接的情况下，他们将使用会话恢复而不是执行完整的 HTTPS 握手。会话恢复比建立一个全新的会话要快得多。请参阅this article on the CloudFlare blog 了解更多信息。