Security API认证中的安全性
我们正在修改我们的服务器端API,我们需要管理安全性。我们当前的模型要求在每个方法调用中包含一个凭证对象(包含用户、密码和pin)。然而,我们的开发团队已经决定我们应该使用会话对象(这对我来说很好),但是新的凭证只是一个GUID。这与我在我们行业的其他API中看到的非常不同,因此我有点担心新模型的安全性。我问他们是否分析了这两种选择,他们说没有 是否有人知道使用一组凭证与仅使用一个元素(尽管可能很复杂)相比,是否有明显的优势、劣势、风险等Security API认证中的安全性,security,authentication,credentials,Security,Authentication,Credentials,我们正在修改我们的服务器端API,我们需要管理安全性。我们当前的模型要求在每个方法调用中包含一个凭证对象(包含用户、密码和pin)。然而,我们的开发团队已经决定我们应该使用会话对象(这对我来说很好),但是新的凭证只是一个GUID。这与我在我们行业的其他API中看到的非常不同,因此我有点担心新模型的安全性。我问他们是否分析了这两种选择,他们说没有 是否有人知道使用一组凭证与仅使用一个元素(尽管可能很复杂)相比,是否有明显的优势、劣势、风险等 PS:无论哪种情况下,通信通道都是安全的,并且它与此特定
PS:无论哪种情况下,通信通道都是安全的,并且它与此特定主题无关您可能需要详细描述您的系统-例如,它是一个web应用程序还是一项服务。如果它是一个web应用程序,并且您有一个到客户端的安全通道,那么简单性将非常有利于使用web容器的会话对象 每个请求是否都应该进行自我验证?可能影响您决策的一些因素:
- 身份验证过程有多复杂/慢
- 客户端通常在一个会话中执行多个请求,还是很少只调用一个服务
- 对于不同的请求是否有不同的身份验证/授权策略
- 重要的是能够在会话中间撤销对客户端的访问?