SORU
1 NİSAN 2011, Cuma


API güvenliği VE Temel kimlik Doğrulaması vs İmza SSL HTTP

Web uygulamamız için bir API tasarlarken, 'kullanıcı adı' ve/gizli. paylaşılan bir API anahtarı üretmek gibi kendi alt kullanacağız Öncelikle, Kullanıcı adı, alt etki alanı kullanmak için tamam mı? Başka bir anahtar üretme yarar görmüyorum.

Farklı API iki şeyden birini yapmak için bir şey gibi görünüyor

  1. SSL ile HTTP Temel kimlik Doğrulaması kullanın

Her istekte kullanıcı adı, alt alan adı ve API anahtarı için parola ayarlayın. O zaman SSL kullanarak olduğumuza göre bu sızdırma güvenli olmalıdır.

Önemli API:**, , *, *3Freshbooks*2 0*

  1. Paylaşılan Sır ile İsteğin bir İmza oluşturun

Normalde, anahtar/değer çiftleri sipariş ederek elde etmiş ve HMAC-SHA1 imza oluşturmak için paylaşılan gizli ile kullanarak. İmza istek gönderilir ve diğer uçta doğrulanır.

Önemli API:Google Checkout, Amazon AWS

PS: hiçbir hata, Çıkış destekler Google bu

Düzenleme:Sadece OAuth 2 SSL ile kullanıcı adı/şifre gönderme lehine imza atıyor oku.

Almak için ne kimseden herhangi bir görüş: vs İmza SSL?

CEVAP
1 EYLÜL 2011, PERŞEMBE


Igor cevabı tamamen doğru değil. Ancak TLS yapar emin olun aktarım katmanı şifreli ve güvenli, hala çalışmıyor olarak güvenli olarak kullanmak için örnek TLS ile karşılıklı kimlik doğrulama nerede istemci kimlik doğrulaması kullanarak "güçlü şifreleme" şeklinde bir dijital imza. Bu TLS üzerinden Temel kimlik Doğrulaması çok daha güzel bir şey neden iki ana nedeni vardır:

  • Şifreler şifreleri ve gezegenimizdeki üçü şimdi 7 milyar insan tamamen tesadüfi olduğunu 30 karakterlik bir parola kullanın diye tahmin ediyorum. Bizden çok daha az entropi ile bir şeyler seçti. Bu nedenle dijital imza yerine şifre kullandığı kaba kuvvet bir hizmet için bir saldırgan için çok daha kolaydır.

  • Bir istemci tarafı dijital imzalar için bir kullanıcı adı ve şifre genellikle özel anahtarı erişmek için ilgili bir iddia olabilir. Ama bu çok farklı bir durum daha var ile Temel kimlik Doğrulama: ilk özel anahtar bulunduğu gibi bir kaynak üzerinde istemci makine bu yüzden bile kurtarılan tek etkileyen tek bir kişi yerine herkes ve ikinci olarak, tipik anahtar konteyner biçimleri gibi PKCS#12 ayrıca Parola Tabanlı Şifreleme için kullanılan erişim anahtarı. Bu algoritmalar özellikle saldırganların zaman birimi, dijital imzalar için bir avantaj yine başına kaba kuvvet girişimleri kendi oranını azaltmak için yavaşlatmak için tasarlanmıştır.

Şüphe yok ki TLS Basic Auth çok daha kolay kurulum ve kullanım, ama yüksek güvenlik ortamları tercih ederim her zaman "güçlü şifreleme" üzerinde Kullanıcı/şifre çözümleri, bu zorluğa değdi.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • androidandme

    androidandme

    10 Mart 2009
  • Dion Coulls

    Dion Coulls

    16 AĞUSTOS 2006
  • Mr_BrettHooge

    Mr_BrettHoog

    3 Ocak 2011