1

機密データを扱う REST サービスを作成しています。これは SSL を介して行われ、双方向のすべてのリクエスト コンテンツはさらに暗号化されます。

承認については、クライアントが最初にログインしてトークンを取得し、次のリクエストでこのトークンを提供する必要があるようにすることを計画していました。彼らが行うすべてのリクエストは、新しいトークンを返します。各トークンは 1 回のみ使用できます。

これは十分に安全な認可スキームですか? Amazon が AWS に対してどのようにそれを行っているかなど、他の手法を見てきましたが、リクエストの署名が複雑さを増しているようです。

4

1 に答える 1

1

追加暗号化なしの SSL は十分に安全です。MITM 攻撃に対する耐性のために、サーバーが「信頼できる CA によって署名された任意の証明書」ではなく、特定の証明書を提供することを確認できます。リクエストが HMAC で署名されている場合があります。シークレットが SSL 経由で送信され、後続のリクエストが暗号化されずに署名されて送信されます。HMAC リクエストの署名は複雑ではありませんが、(初期シークレットだけでなく) すべてを SSL 経由で送信する場合は意味がありません。

于 2012-08-29T18:11:08.373 に答える