0

我正在寻找一种简单的身份验证协议(OpenID、Active Directory、??)供用户登录我的网站。它托管在 Windows Azure 上。需要高级别的安全性。您可以推荐什么以及为什么要选择这个特定的选择?

注意:此时我不会使用 SSL,因此无法传输纯文本密码。但是,我将来会过渡到 SSL 环境。

4

1 回答 1

1

您的站点/服务将通过网络传输的数据是私有的、敏感的、专有的等吗?如果是这样,那么您必须实施 SSL 以防止任何使用数据包嗅探器的人能够直接从网络中窃取数据。

为了执行安全身份验证,您需要使用 SSL 之类的东西来建立安全通信传输,您可以通过该传输从身份提供者请求和接收 SAML(或类似)身份令牌。

如果您不使用 SSL 来保护您的通信,那么恶意的第 3 方窃取身份令牌并伪装成经过身份验证的用户和/或记录/监视/修改系统中任何用户的每个请求都是微不足道的!

您不使用 SSL 的原因是什么?

于 2013-03-01T01:11:44.003 回答