2

我正在构建一个托管在 Azure 云中的 .NET Web API 应用程序,它需要使用托管在公司 Intranet 中的不同 API。假设我正在构建两个API。

客户端 = Azure .NET Web API 服务器 = Intranet API

我需要知道保护从客户端到服务器的请求的最安全方法。这是我登陆的地方:

  • 2-Leged OAuth
  • 双向 TLS
  • 用户名密码

我喜欢两条腿的 OAuth,因为它的简单性和令牌方法,但是我觉得这是不安全的,因为如果密钥被泄露,整个方法就会被破坏。

相互 TLS 似乎是最安全的,尽管工作量最大。

用户名和密码似乎不再相关(或与前两个一样安全)。

问题我是坚持使用 Mutual TLS,还是我的假设不正确?另外,我可以采取另一种方法吗?

免责声明 - 有类似的帖子,但我觉得他们没有详细说明每个人带来的安全级别,也没有很好地解释为什么他们应该使用一个而不是另一个。

4

1 回答 1

1

使用相互身份验证。经过各种阅读,我们发现这简直是企业安全的最佳选择。

http://searchsecurity.techtarget.com/definition/mutual-authentication

http://blogs.intel.com/api-management/2012/05/11/enterprise-apis-and-oauth-have-it-all/

于 2016-10-16T03:04:26.467 回答