REST API を作成していますが、認証は初めてです。調査した結果、次のスキームは安全ですか?
ユーザーは、リクエストの hmac ハッシュと秘密鍵を含めます。次に、サーバーはリクエストを受け取り、それをキーでハッシュし、ユーザーが提供したハッシュと比較します。チェックアウトした場合は、リクエストを完了します。リプレイを防ぐために、リクエストとハッシュに UTC タイムスタンプを含めることができます。
上記はほぼ 2 本足の oauth であることを理解しています。
REST API を作成していますが、認証は初めてです。調査した結果、次のスキームは安全ですか?
ユーザーは、リクエストの hmac ハッシュと秘密鍵を含めます。次に、サーバーはリクエストを受け取り、それをキーでハッシュし、ユーザーが提供したハッシュと比較します。チェックアウトした場合は、リクエストを完了します。リプレイを防ぐために、リクエストとハッシュに UTC タイムスタンプを含めることができます。
上記はほぼ 2 本足の oauth であることを理解しています。