【问题标题】:Secure Authentication Protocol安全认证协议
【发布时间】:2013-03-01 09:11:44
【问题描述】:

我正在寻找一种简单的身份验证协议(OpenID、Active Directory、??)供用户登录我的网站。它托管在 Windows Azure 上。需要高级别的安全性。您可以推荐什么以及为什么要选择这个特定的选项?

注意:此时我不会使用 SSL,因此无法传输纯文本密码。不过,我将来会过渡到 SSL 环境。

【问题讨论】:

  • 无 SSL == 无“高安全级别”。那里的大多数身份验证协议都依赖于 SSL。如果您不使用 SSL,那么最好的办法是实施公钥身份验证。

标签: security authentication azure web cloud-hosting


【解决方案1】:

您的站点/服务将通过网络传输的数据是私有的、敏感的、专有的等吗?如果是这样,那么您必须实施 SSL 以防止任何使用数据包嗅探器的人能够直接从网络中窃取数据。

为了执行安全身份验证,您需要使用 SSL 之类的东西来建立安全的通信传输,您可以通过该传输从身份提供者请求和接收 SAML(或类似)身份令牌。

如果您不使用 SSL 来保护您的通信,那么恶意的第 3 方很容易窃取身份令牌并伪装成经过身份验证的用户和/或记录/监控/修改您系统中任何用户的每个请求!

您不使用 SSL 的原因是什么?

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2015-04-01
    • 2017-03-08
    • 1970-01-01
    • 2021-03-26
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多