Amazon web services Amazon Web服务:令牌自动售货机(匿名/身份)加密
基本上,我想知道,如果通过HTTPS进行通信,为什么会有所有额外的加密步骤 即:身份: 用户进行身份验证,通过HTTPS向该用户提供一个身份令牌,用户可以使用该令牌执行您允许的任何操作。如果他们表现不好,我可以撤销权利,不允许未来的代币进入该帐户 即:对于匿名用户: 如果我给匿名代币,我们真的不应该让他们做任何可能有害的事情。。。给他们代币,希望他们不要滥用。如果发现滥用,只需通过IP撤销权利并将其列入黑名单(我的意思是,这是我当时唯一能做的事情,对吗?) 除了我上面所描述的以外,还有什么其他的复杂性呢?例如,“使用使用高级加密标准通过https传递的密钥进行加密”,“由时间戳生成的HMAC哈希组成的加密签名,使用从密码派生的安全密钥” 这真的有必要吗?有什么好处?我是否仍然需要练习对令牌使用情况的主动监控,我是否需要像上面所描述的那样对行为不好的用户进行监控Amazon web services Amazon Web服务:令牌自动售货机(匿名/身份)加密,amazon-web-services,token,Amazon Web Services,Token,基本上,我想知道,如果通过HTTPS进行通信,为什么会有所有额外的加密步骤 即:身份: 用户进行身份验证,通过HTTPS向该用户提供一个身份令牌,用户可以使用该令牌执行您允许的任何操作。如果他们表现不好,我可以撤销权利,不允许未来的代币进入该帐户 即:对于匿名用户: 如果我给匿名代币,我们真的不应该让他们做任何可能有害的事情。。。给他们代币,希望他们不要滥用。如果发现滥用,只需通过IP撤销权利并将其列入黑名单(我的意思是,这是我当时唯一能做的事情,对吗?) 除了我上面所描述的以外,还有什么其他的
资源:我在AWS移动SDK上工作。匿名和身份TVM是用于将AWS令牌通信到移动设备的示例参考应用程序。您应该修改TVM以满足您的特定需求。至少,您应该更新应用于令牌的策略,以限制移动应用程序仅访问其所需的AWS资源。如您所述,在身份TVM中限制谁可以访问TVM也是正确操作TVM的一个关键方面 我们添加了额外的加密层,以提供更好的整体安全性。SSL的使用是这里使用的层之一——它用于保护令牌本身到设备的传递,以及用于加密令牌的密钥 请注意,一旦颁发令牌,就不可能撤销它。令牌具有1-36小时的可配置时间限制,因此设置适当的策略和持续时间是TVM及其服务的应用程序的重要安全考虑因素 如果有帮助的话,下面的文章提供了一个定制身份TVM的示例,其中特定的策略对象应用于令牌: 希望这有帮助
Glenn我不知道您不能撤销特定的联邦用户。但是,看起来您可以通过更改颁发联合令牌的IAM用户的权限来撤销所有允许访问的联合用户的权限。有趣的。。。至于额外的加密,如果他们正在破坏SSL,他们难道不能访问解密其余消息所需的所有信息吗?我想关键是未来所有的通信都会有一个额外的加密层。