0

通过这两种方法,我都使用 SSL。

对我来说,两者似乎都一样安全。但如果 SSL 中断,则存在差异。

1)基本身份验证:没有 SSL,有人可以钓鱼用户名+密码并永远使用它。

2)令牌身份验证:如果没有 SSL,有人可以进行中间人攻击并窃取我的令牌并仅使用它,但仅在某个时间段内我会说,例如令牌创建日期 + 8 小时,并且带有该令牌的每个请求都是无效的因为令牌无效。

基于令牌的身份验证与基本身份验证还有更多优势吗?

4

1 回答 1

1

使用身份验证令牌(例如 OAuth2)的主要优点之一是客户端应用程序不需要在本地保存凭据。客户端应用程序在初始登录时发送一次凭据,然后在客户端应用程序提示用户再次输入时忘记它们,只要您不需要重新授权应用程序即可。

与版本 1 相比,OAuth2 不需要您对请求进行签名;不记名令牌只要有效就可以使用,无需任何措施,这似乎是一个安全问题,但该过程利用了简化。

于 2013-12-27T21:26:05.110 回答