我应该使用什么协议来保护 Web 服务。我正在考虑 CHAP,但我找不到与 Web 服务相关的太多信息。SubAuth 和 OAuth 更多的是让 Web 服务访问其他东西,所以这不是我想要的。我需要在不通过线路发送其凭据的情况下对用户进行身份验证。
我已经阅读了一些与安全相关的问题的答案,并发现了一些关于挑战响应身份验证和三通协议的内容,但没有任何内容与 Web 服务直接相关。
有人有这方面的经验吗?
帮助高度赞赏。
问问题
518 次
3 回答
1
如果您找不到任何将 CHAP 与 Web 服务相关的内容,那么很可能没有任何关系。
通常,要么使用 SSL (HTTPS),要么使用 WS-Security。但是,如果安全性确实很重要,通常首先了解 Web 服务中的安全性。
于 2009-06-08T11:00:48.370 回答
1
网络服务?那么,也许是 HTTPS(带有 SSL 客户端证书或 HTTP 身份验证)或 HTTP Digest 身份验证?
这取决于安全模型——你想为谁提供服务(公共?公司网络?一些本地站点的东西?),你想保护什么以及你想牺牲多少性能和可用性来保证安全(负载很重SSL 几乎肯定会占用大量 CPU 时间)等等。
于 2009-06-08T10:44:06.547 回答
0
OAuth 在解决直接访问场景(也称为 2-legged 场景)方面同样出色。这就是我们采用的协议。
于 2010-03-31T11:44:23.970 回答