2

HTTP基本認証を使用するAPIを構築したいのですが、これを行うには、クライアントがユーザーのパスワードをプレーンテキストで保存し、すべてのリクエストと一緒に送信する必要があります。私は本当にこれをしたくありません。

このAPIにOAuthを使用できないか、APIを使用するためにクライアントにアプリを登録してもらうことができません。

承認の代替方法に関する提案はありますか?

4

1 に答える 1

2

あなたの脅威モデルは何ですか?言い換えれば、あなたが取り組もうとしているリスクは何ですか?プレーンテキストでの資格情報の送信が心配な場合は、HTTP基本認証でSSLを使用できます。また、あなたは調べることができます-

1)ダイジェスト認証を使用する

2)SSLクライアント証明書認証(アプリIDを登録できないと言ったため、これは機能しない可能性があります。証明書認証が機能するには、認証する証明書の公開鍵が少なくとも必要です。

3)内部アプリの場合、Kerberos(Windows)認証を使用できます

于 2012-08-28T01:35:17.333 に答える