Security API认证中的安全性

我们正在修改我们的服务器端API，我们需要管理安全性。我们当前的模型要求在每个方法调用中包含一个凭证对象（包含用户、密码和pin）。然而，我们的开发团队已经决定我们应该使用会话对象（这对我来说很好），但是新的凭证只是一个GUID。这与我在我们行业的其他API中看到的非常不同，因此我有点担心新模型的安全性。我问他们是否分析了这两种选择，他们说没有

是否有人知道使用一组凭证与仅使用一个元素（尽管可能很复杂）相比，是否有明显的优势、劣势、风险等

---

PS：无论哪种情况下，通信通道都是安全的，并且它与此特定主题无关

您可能需要详细描述您的系统-例如，它是一个web应用程序还是一项服务。如果它是一个web应用程序，并且您有一个到客户端的安全通道，那么简单性将非常有利于使用web容器的会话对象

每个请求是否都应该进行自我验证？可能影响您决策的一些因素：

• 身份验证过程有多复杂/慢
• 客户端通常在一个会话中执行多个请求，还是很少只调用一个服务
• 对于不同的请求是否有不同的身份验证/授权策略
• 重要的是能够在会话中间撤销对客户端的访问？

---

该系统作为web服务公开，合作伙伴可以通过该服务发送或接收支付指令。认证过程相对较快；只需使用任一选项进行数据库查找。当前API不保留会话；凭证仅随每个请求一起发送。此外，初步认为会话不会过期。尽管如此，每个会话可能会有多个请求，即使根据当前的使用情况很难预测这些变化。所有请求都使用相同的策略，并且不需要撤销对客户端的访问。感谢您的输入。我回答了你上面的问题。