如果我将 HMAC 附加到身份验证令牌,则该令牌不能被篡改。我注意到许多文章还建议加密令牌(其中包含用户 ID、到期日期和哈希)。加密的意义何在?这不是浪费CPU时间吗?(您必须为每个请求解密令牌。)如果未加密,任何人都可以看到用户 ID 和到期日期。那里有什么害处?
问问题
149 次
1 回答
0
仅使用 HMAC 是一个可行的选择:http ://c2.com/cgi/wiki/wiki?HmacUserAuthentication
但是:注意缺点
没有隐私。如果您需要隐私,则需要完全加密:使用 SSL。HmacUserAuthentication 是为了服务提供的安全性,而不是隐私。
因此,如果您使用普通连接,则需要加密。在 SSL 的情况下,仅当您想阻止最终用户读取令牌时才需要额外的加密。
于 2013-06-14T16:36:59.097 回答