任何請求經由HTTPS製成,並且令牌發送的以下途徑:是基於令牌的認證確保當
一個)GET https://foo.dom/foobar?auth_token=abcxyz
b)中GET https://foo.dom/foobar與像X-FOOBAR-TOKEN HTTP報頭:abcxyz
據我所知SSL,在HTTP請求的情況下,客戶端首先協商SSL連接,並只在成功建立所述安全連接的情況下傳送附加參數和/或HTTP標頭。
我到目前爲止是否正確?
THX皮毛任何建議。 Felix
任何請求經由HTTPS製成,並且令牌發送的以下途徑:是基於令牌的認證確保當
一個)GET https://foo.dom/foobar?auth_token=abcxyz
b)中GET https://foo.dom/foobar與像X-FOOBAR-TOKEN HTTP報頭:abcxyz
據我所知SSL,在HTTP請求的情況下,客戶端首先協商SSL連接,並只在成功建立所述安全連接的情況下傳送附加參數和/或HTTP標頭。
我到目前爲止是否正確?
THX皮毛任何建議。 Felix
SSL爲您提供了對傳輸的加密,因此無論哪個人都可以在身份驗證令牌從站點發送/接收時竊取。有一些可以針對SSL執行的中間人攻擊,但通常SSL應該保護令牌內容。
是什麼使或打破了安全令牌它自身是否是加密安全。如果這可以說是真的,那麼你是金。看看這個網站http://web.mit.edu/kerberos/dialogue.html。
有很多使用secrue令牌身份驗證的其他網站,請參閱:http://docs.amazonwebservices.com/AmazonS3/latest/dev/index.html?RESTAuthentication.html。
肖恩,thx爲這個詳細的答案!創造了我的一天。 – GeorgieF
不客氣! :d –
如果你要基於SSL的存在你的整個的安全性,那麼請確保你不能「談話」 Web服務器到明文爲它服務。 – Marcin
當然,在我的情況ssl_requirement爲我做這個。 – GeorgieF