我正在创建一个 REST API 并且是身份验证的新手。经过研究,下面的方案安全吗?
用户包括他们的请求的 hmac 哈希以及他们的密钥。然后服务器接受请求,将其与密钥进行散列,并将其与用户提供的散列进行比较。如果检查成功,请完成他们的请求。为了防止重播,您可以让他们在请求和哈希中包含 UTC 时间戳。
我知道上面几乎是两条腿的oauth。
我正在创建一个 REST API 并且是身份验证的新手。经过研究,下面的方案安全吗?
用户包括他们的请求的 hmac 哈希以及他们的密钥。然后服务器接受请求,将其与密钥进行散列,并将其与用户提供的散列进行比较。如果检查成功,请完成他们的请求。为了防止重播,您可以让他们在请求和哈希中包含 UTC 时间戳。
我知道上面几乎是两条腿的oauth。