0
我在尋找一個簡單的身份驗證協議(OpenID的,活動目錄,??),用於用戶登錄到我的網站。它在Windows Azure上託管。高度的安全性是必需的。你可以推薦什麼,爲什麼這個特殊的選擇?安全認證協議
注:在這個時間點,我將不會使用SSL所以沒有明文密碼可以被傳輸。然而,我將在未來轉換到SSL環境。
Q
安全認證協議
A
回答
1
那是你的網站/服務將橫跨電線私下傳輸數據,敏感的,專有的,等等?如果是這樣,那麼您必須實施SSL才能防止任何擁有數據包嗅探器的人能夠直接從線路中擷取數據。
爲了執行安全認證,您將需要使用像SSL建立安全通信的傳輸上,你可以請求並從身份提供商接收SAML(或類似)的身份令牌。
如果您不使用SSL來保護您的通信,那麼惡意第三方竊取身份令牌並僞裝成經過身份驗證的用戶和/或記錄/監控/修改您的任何用戶的每個請求系統!
你有什麼理由不使用SSL?
相關問題
- 1. 安全和身份驗證協議
- 2. 哪種認證協議?
- 3. Lowe的Yahalom安全協議
- 4. .NET安全協議TLS
- 5. 雙向安全(多協議)
- 6. 安全的WCF服務,除SSL協議外還需要哪種認證?
- 7. 如何使用6位數字設計安全令牌認證協議?
- 8. WCF安全認證
- 9. Servlet安全認證
- 10. API認證安全
- 11. 對稱密鑰認證協議
- 12. 谷歌分析測量協議認證?
- 13. 谷歌混合協議認證問題
- 14. 此HTTPS身份驗證協議是否安全?
- 15. 安全協議無法驗證傳入消息?
- 16. 彈簧安全用戶協議頁面
- 17. AWS Cloudformation配置ICMP協議安全組
- 18. 爲什麼MAVLink協議不安全?
- 19. Zend AMF實現和AMF協議安全
- 20. 如何選擇安全傳輸協議
- 21. 傳播認證協議,支持多因素認證
- 22. Cloudfoundry,默認協議
- 23. 這是安全使用不安全的協議嗎?
- 24. RFC /建議:關於安全/不安全的rpc /事件流協議設計
- 25. ASP.Net安全Ajax認證
- 26. SOAP-WS安全頭認證
- 27. MQJMS2013無效安全認證
- 28. Spring安全認證問題
- 29. 用戶安全認證symfony2
- 30. 彈簧安全不認證
無SSL ==無「安全的高水平」。大部分身份驗證協議都依賴於SSL。如果你不使用SSL,那麼最好的辦法就是實現公鑰認證。 – 2013-03-01 00:59:59