2
我的最新API即將「發貨」。從「早期發佈和經常發佈」的背景出發,我計劃在更高發布版本中實施oAuth。我是否仍然應該爲我的API提供基本身份驗證
是什麼原因導致Twitter removes Basic Auth from its API?在任何API中使用基本身份驗證有什麼優點和缺點以及安全隱患?
最佳
亨裏克
A
回答
1
的可能(愚見)爲什麼Twitter的去除基本授權是基於這樣的事實,基本授權是基於Base64 encoding。基本授權標頭允許您散列用戶名和密碼的字符串concocuation(用冒號分隔)。
例如(僞代碼,語言獨立的)
String basicAuth = Base64Encode("username:password"); //where username is my username and password is password.
httpRequestHeader.setHeader("Authorization", "Basic " + basicAuth);
竊聽者可以截取HTTP請求,檢索Authorization報頭,並且解碼Base64編碼流,並獲得用戶的用戶名和密碼。編碼器/解碼器代碼可以在互聯網上的任何地方找到。
現在,竊聽者使用該用戶名和密碼登錄到Twitter併成爲「新」用戶(並更改密碼以便當前用戶不再登錄)。
或多或少,基本認證的缺陷可以在here找到。
其次,Twitter想要在發佈商網站上完成身份驗證,而不是通過第三方客戶端遠程發送。 OAuth提供了這樣的能力。
相關問題
- 1. 如何爲Kibana4提供基本身份驗證
- 2. 與基本身份驗證的HTTP基本身份驗證
- 3. Solr6.3.0 SolrJ API的基本身份驗證
- 4. HtmlMimEmail版本2.0是否提供TLS身份驗證選項?
- 5. 基本身份驗證改造+基本身份驗證
- 6. YouTube API是否允許基本身份驗證?
- 7. Office365 REST API基本身份驗證
- 8. Symfony基本API Http身份驗證
- 9. .net web api,SSL +基本身份驗證
- 10. 向WebView提供一些基本的身份驗證憑據?
- 11. Xamarin表單身份驗證 - 身份驗證提供程序?
- 12. Windows身份驗證是否提供不可否認性?
- 13. 什麼是刪除我的基本身份驗證頭?
- 14. Firebase身份驗證:如何驗證用戶是否仍然存在
- 15. Django - 未提供身份驗證憑證
- 16. 基本socket.io身份驗證
- 17. tomcat基本身份驗證
- 18. Apache基本身份驗證
- 19. CQ基本身份驗證
- 20. Wcf基本身份驗證
- 21. 基本HTTP身份驗證
- 22. AngularJS基本身份驗證
- 23. 基本身份驗證
- 24. Ruby基本身份驗證
- 25. 基本身份驗證
- 26. 我是否需要使用Flickr api進行身份驗證
- 27. 帶有提取的基本身份驗證(或任何身份驗證)
- 28. 提供與我的服務器安全的Facebook身份驗證
- 29. CakePHP 2基本身份驗證驗證
- 30. RESTful端點的身份驗證 - 基本身份驗證和XHR