[英]Mutual SSL vs. Token-based auth
我正在開發Web應用程序,而安全性是此應用程序中我們主要關注的問題之一。 我正在研究API安全性的不同方法(在OWASP上已在此處提到),無法理解相互SSL身份驗證和基於令牌的身份驗證之間的區別。 這是我前進之前的兩個簡要介紹,
雙向(雙向)SSL身份驗證提供了加密數據流,服務器和客戶端的雙向身份驗證以及自動登錄便利性的組合。
每個單個請求都需要令牌。 該令牌應在HTTP標頭中發送,以便我們遵循無狀態HTTP請求的想法。
從我得到的結果來看,它們可能是彼此的替代品,因此我想到了一些問題,如果您能回答他們,我將非常感激。
我認為這兩種方法都是彼此替代的,是嗎?
都應根據您的上下文使用這兩種方法。 根據需要和安全上下文使用兩種方法。
沒有? 那我們應該使用其中之一還是兩者都使用? 此外,根據您說的不同點,它們之間的區別是什么。
基於令牌的身份驗證 (OAuth)通常用於需要在移動應用/ Web應用與api服務器之間建立安全通信的情況下(設備中未存儲密碼)將臨時令牌存儲到設備中隨着時間過期。
相互SSL相互身份驗證可以很好地在兩個服務器之間建立安全通信。
因此,決定選擇的是環境!
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.