任何请求都是通过 HTTPS 发出的, token 通过以下方式传输:
a) 获取 https://foo.dom/foobar?auth_token=abcxyz
b) 获取 https://foo.dom/foobar带有像 X-FOOBAR-TOKEN 这样的 HTTP header :abcxyz
据我了解,在 HTTP 请求的情况下,客户端首先协商 SSL 连接,并且仅在成功建立安全连接的情况下传输附加参数和/或 HTTP header 。
到目前为止我说得对吗?
谢谢任何建议。 菲利克斯
最佳答案
SSL 为您购买传输加密,因此在从站点发送/接收身份验证 token 时,没有人可以获取身份验证 token 。可以针对 SSL 执行一些中间人攻击,但通常 SSL 应该保护 token 内容。
安全性的成败在于 token 本身是否具有加密安全性。如果那可以说是真的,那么你就是金子。查看此网站 http://web.mit.edu/kerberos/dialogue.html .
还有许多其他网站使用安全 token 进行身份验证,请参阅:http://docs.amazonwebservices.com/AmazonS3/latest/dev/index.html?RESTAuthentication.html .
关于security - 基于 token 的身份验证安全吗,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7836045/