基本上,我想知道爲什麼所有額外的加密步驟,如果通信是通過HTTPS?亞馬遜網絡服務:令牌自動售貨機(匿名/身份)加密
即。對於身份:
用戶進行身份驗證,通過HTTPS爲該用戶提供身份令牌,他們可以使用該身份令牌來執行您允許的任何操作。如果他們行爲不當,我可以撤銷權限並禁止未來的令牌訪問該帳戶。
即。匿名:
那麼如果我給匿名令牌出來,我們真的不應該讓他們做任何可能有害的事情......只要給他們一個令牌,並希望他們不要濫用它。如果發現濫用權利,只需撤銷權利,並通過IP將他們列入黑名單(我的意思是,那是我在這一點上唯一能做的事情嗎?)。
除了上面介紹的所有其他複雜性之外,還有什麼?即。 「使用通過https使用高級加密標準傳遞的祕密密鑰進行加密」,「使用從密碼獲得的安全祕密密鑰從時間戳生成的HMAC散列組成的加密簽名」
這真的有必要嗎?有什麼好處?我是否仍然需要對令牌的使用情況進行主動監控,並且按照上面對不良行爲用戶所描述的方式進行操作?
資源:http://aws.amazon.com/articles/4611615499399490
我不知道你無法撤銷特定的聯合用戶。看起來您可以通過更改發佈聯合令牌的IAM用戶的權限來撤銷允許訪問的所有聯合用戶的權限。有趣的......就額外的加密而言,如果他們通過SSL破解,他們不能訪問他們需要解密其餘消息的所有信息嗎?我想這一點是__all__ __future__通信將有一個額外的加密層。 –