1

私は、(将来) 専用の Android アプリと同様に使用される可能性のある Web アプリケーションのセキュリティの観点から、最良の選択が何であるかを理解しようとしています。

それでも、私が経験した可能性のある選択肢は、OAuth (2-legged) と TLS を介した基本的な HTTP 認証です。

OAuth について言及するときは、OAuth 1.0a と OAuth 2.0 の両方をもちろん別の選択肢として考えていることに注意してください。

ここに私の疑問があります:

1) まず、OAuth 1.0a に基づいてセキュリティ システムをセットアップすることは、今日では意味がありますか? それは「古すぎる」と見なされるべきであり、したがって完全に間違った選択でしょうか?

2) 2-legged OAuth が明らかに Http(S) Auth よりも優れたオプションである現実世界のシナリオを理解できません。そこから得られる追加のボーナスは何ですか?

3) 私がベテランのセキュリティ専門家ではないことを考えると、OAuth は合理的な選択でしょうか?

4) OAuth を完全に理解しようとするよりも短い時間および/または少ない労力で、安全で信頼性の高い推力のある OAuth の実装を取得するために使用できるサポート フレームワークまたはその他のサードパーティの補助ツールはありますか?彼女自身

4

1 に答える 1

1

  1. それは絶対に理にかなっています。私の個人的な意見では、OAuth 2 が必要であることが絶対に確実でない限り、OAuth 1.0a が推奨されるソリューションであることに変わりはありません。OAuth1 は厳密に定義された安全なプロトコルであり、OAuth2 はプロトコルを作成するために使用される「フレームワーク」です。これは安全性が低くなります。

  2. 主な違いは、OAuth を使用する場合、ネットワーク経由でパスワードを送信しないことです。また、Android アプリケーションはユーザーのパスワードを知る必要はありません。また、パスワードを知らなくても、漏えいしても責められることはありません。

  3. OAuth 1.0a は完全に妥当な選択です。必ず長い (つまり 1K 以上の長さの) シークレットを使用してください。シークレットはリクエストとともに送信されないため、帯域幅を消費することはありませんが、デジタル署名の生成に使用されます。

  4. がある。しかし、あなたはアンドロイドに興味があり、私はアンドロイドの専門家ではないので、これは他の人に任せます. この質問を個別に行うと、適切な回答が得られる可能性が高くなります

于 2013-07-18T11:54:13.183 に答える