0
我們正在修改我們的服務器端API,我們需要管理安全性。我們當前的模型要求在每個方法調用中都包含一個憑證對象(包含用戶,密碼和引腳)。然而,我們的開發團隊已經決定我們應該擁有會話對象(這對我來說很好),但是新的憑證只是一個GUID。這與我在業內其他API中看到的非常不同,所以我有點擔心新模型的安全性。我問他們是否分析過兩種選擇,他們說他們沒有。API認證安全
有沒有人知道使用一組憑證與僅使用一個憑證是否存在明顯的優點,缺點,風險等(複雜性如何)?
PS:通信信道會在兩種情況下的安全,這是從這個特定主題
該系統作爲Web服務公開,合作伙伴可以發送或接收付款指令。認證過程相對較快;只需使用任一選項查找數據庫即可。當前的API不會保留會話;憑證只是隨每個請求一起發送。此外,初步認爲會議不會過期。儘管如此,可能每個會話都會有多個請求,即使根據當前使用情況很難根據變化預測。所有請求都使用相同的策略,並且不需要撤銷對客戶端的訪問。 – Carlos 2010-04-03 13:18:46