4

基本的に、通信が HTTPS を介している場合に、すべての追加の暗号化が行われる理由を知りたいですか?

すなわち。ID の場合:

ユーザーが認証し、HTTPS を介してそのユーザーに ID トークンを提供し、ユーザーが許可したことを実行するために使用できます。彼らが行儀が悪い場合、私は権利を取り消し、そのアカウントへの将来のトークンを禁止することができます.

すなわち。匿名の場合:

私が匿名のトークンを提供する場合、潜在的に有害なことを彼らにさせてはなりません... ただ彼らにトークンを与え、彼らがそれを悪用しないことを願っています. 不正使用が検出された場合は、単に権利を取り消し、IP によってブラック リストに登録します (つまり、その時点で私ができる唯一のことですよね?)。

私が上で説明したこと以外に、上記の他のすべての複雑さとは何ですか? すなわち。「Advanced Encryption Standard を使用して https 経由で渡された秘密鍵を使用した暗号化」、「パスワードから派生した安全な秘密鍵を使用して、タイムスタンプから生成された HMAC ハッシュで構成される暗号署名」

これは本当に必要ですか?どのようなメリットがありますか? トークンの使用状況を積極的に監視する必要はありますか? また、行儀の悪いユーザーに対して上記で説明したことを行う必要がありますか?

リソース: http://aws.amazon.com/articles/4611615499399490

4

1 に答える 1

7

私は AWS Mobile SDK に取り組んでいます。Anonymous TVM と Identity TVM は、AWS トークンをモバイル デバイスに伝達するためのサンプル リファレンス アプリケーションとして意図されています。特定のニーズに合わせて TVM を変更する必要があります。少なくとも、トークンに適用されるポリシーを更新して、モバイルアプリのアクセスを必要な AWS リソースのみに制限する必要があります。あなたが言及したように、Identity TVM で TVM にアクセスできるユーザーを制限することも、TVM を適切に操作するための重要な側面です。

全体的なセキュリティを向上させるために、暗号化のレイヤーを追加しました。SSL の使用は、ここで使用されているレイヤーの 1 つです。SSL は、トークン自体のデバイスへの配信と、トークンの暗号化に使用されるキーを保護する役割を果たします。

トークンが発行されると、それを取り消すことはできないことに注意してください。トークンには 1 ~ 36 時間の構成可能な時間制限があるため、適切なポリシーと期間を設定することは、TVM とそれが提供するアプリケーションにとって重要なセキュリティ上の考慮事項です。

次の記事では、特定のポリシー オブジェクトがトークンに適用された、カスタマイズされた Identity TVM の例を示しています。

http://aws.amazon.com/code/4598681430241367

お役に立てれば、

グレン

于 2013-01-15T19:20:05.477 に答える