[英]Mutual SSL vs. Token-based auth
我正在开发Web应用程序,而安全性是此应用程序中我们主要关注的问题之一。 我正在研究API安全性的不同方法(在OWASP上已在此处提到),无法理解相互SSL身份验证和基于令牌的身份验证之间的区别。 这是我前进之前的两个简要介绍,
双向(双向)SSL身份验证提供了加密数据流,服务器和客户端的双向身份验证以及自动登录便利性的组合。
每个单个请求都需要令牌。 该令牌应在HTTP标头中发送,以便我们遵循无状态HTTP请求的想法。
从我得到的结果来看,它们可能是彼此的替代品,因此我想到了一些问题,如果您能回答他们,我将非常感激。
我认为这两种方法都是彼此替代的,是吗?
都应根据您的上下文使用这两种方法。 根据需要和安全上下文使用两种方法。
没有? 那我们应该使用其中之一还是两者都使用? 此外,根据您说的不同点,它们之间的区别是什么。
基于令牌的身份验证 (OAuth)通常用于需要在移动应用/ Web应用与api服务器之间建立安全通信的情况下(设备中未存储密码)将临时令牌存储到设备中随着时间过期。
相互SSL相互身份验证可以很好地在两个服务器之间建立安全通信。
因此,决定选择的是环境!
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.