Web API安全和身份验证 - 承载令牌
[英]Web API Security and Authentication - bearer token
问题描述
我正在努力学习Web API和API的方法。
这时,我正在调查身份验证。
我知道API身份验证和授权有多种方法。 最常见的似乎是不记名令牌。
我也看到SAML,我也知道x509(从我的WCF时代开始)。
我今天想谈谈不记名令牌。 承载令牌作为标头传递。 标题
未加密
可能没有加密?因此,有人可能会抓住所述标记并在未经同意的情况下冒充用户。 这是我对持有人令牌的看法。 今天许多流行的服务似乎都使用这种API验证方法。
除了持票人令牌之外还有哪些其他选择但是或多或少与HMAC消息一样安全等等?
我似乎对许多身份验证方法有所了解。 我试图了解更多,并希望构建一个非常安全的API,允许SSO(单点登录) - 如果承载令牌是要走的路,那么很好,它是非常容易和开箱即用的解决方案。 如果有更好,更安全的东西,即使工作和时间远远超过持票人,我仍然愿意接受。
我不知道为什么我不喜欢不记名令牌的声音,但它似乎很容易攻击和利用。 特别是对于支付相关类型的服务。
谢谢!
2 个解决方案
解决方案1
3 已采纳 2014-09-15 22:15:45
标头使用HTTPS加密 - Bearer令牌对于安全性非常好,我现在在我的企业应用程序中使用它。
解决方案2
2 2014-08-19 22:23:41
承载令牌作为标头传递。 标题未加密,因此,某人可能会抓住所述标记并在未经同意的情况下冒充用户。
虽然这可能并不总是理想的解决方案,但您可以确保只使用https传递数据。 根据Eran Hammer (在本文中实际上建议不使用承载令牌),如果使用HTTPS传递头信息将保持安全。 此外,您可以在需要再次使用时将自己的加密算法添加到令牌或敏感数据中。
在令人知道的关于代币的10件事中,请参阅#8
Web API 2 中非常基本的承载令牌身份验证和授权
[英]Very basic bearer token authentication and authorization in Web API 2
使用Web API承载令牌基础身份验证生成令牌时如何设置一些用户数据
[英]How to set some user data when token generate using web api bearer token base authentication
Azure AD 带有用于 Web API 的不记名令牌身份验证的 AD 无法正常工作,抛出错误,因为“此请求的授权已被拒绝”。
[英]Azure AD with Bearer token authentication for Web API not working throwing error as “Authorization has been denied for this request.”
Azure B2C Authentication (angular + .net core Web API) - Neither scope or roles claim was found in the bearer token
[英]Azure B2C Authentication (angular + .net core Web API) - Neither scope or roles claim was found in the bearer token
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Web API 2 OWIN Bearer令牌自定义身份验证
Web API 2 中非常基本的承载令牌身份验证和授权
Web API中的Decrypt Bearer Token
使用Web API承载令牌基础身份验证生成令牌时如何设置一些用户数据
Azure AD 带有用于 Web API 的不记名令牌身份验证的 AD 无法正常工作,抛出错误,因为“此请求的授权已被拒绝”。
如何在web api中强制使用无效的承载令牌?
Web API令牌认证
Signalr 承载令牌身份验证
OWIN承载令牌认证
Azure B2C Authentication (angular + .net core Web API) - Neither scope or roles claim was found in the bearer token
相关标签