Webサービスを保護するためにどのプロトコルを使用する必要がありますか。CHAPを検討していますが、Webサービスに関してはあまりわかりません。SubAuthとOAuthは、Webサービスに他の何かにアクセスできるようにすることを目的としているため、私が探しているものではありません。クレデンシャルを回線経由で送信せずにユーザーを認証する必要があります。
いくつかのセキュリティ関連の質問への回答を読み、チャレンジレスポンス認証とスリーパスプロトコルについて何かを見つけましたが、Webサービスに直接関係するものは何もありませんでした。
誰かがそれを経験したことがありますか?
高く評価されています。
ウェブサービス?次に、HTTPS(SSLクライアント証明書またはHTTP認証のいずれかを使用)またはHTTPダイジェスト認証ですか?
それはセキュリティモデルに依存します—サービスを提供したい人(パブリック?企業ネットワーク?いくつかのサイトローカルのもの?)、何を保護したいのか、そしてセキュリティのパフォーマンスと使いやすさをどれだけ犠牲にしたいのか(負荷が大きい場合) SSLはほぼ確実に多くのCPU時間を消費します)など。
CHAPとWebサービスに関連するものが見つからない場合は、関係がない可能性があります。
通常、SSL(HTTPS)またはWS-Securityのいずれかを使用します。ただし、セキュリティが実際に重要である場合は、通常、最初にWebサービスのセキュリティについて学習します。
OAuthは、2本足のシナリオとしても知られる直接アクセスシナリオに対処する上で同様に優れた仕事をすることができます。これが私たちが求めたプロトコルです。