Security 相互SSL与基于令牌的身份验证

我正在开发一个web应用程序，安全性是我们在这个应用程序中主要关注的问题之一。我正在研究API安全性的不同方法（在这里提到），无法理解相互SSL身份验证和基于令牌的身份验证之间的区别。在我继续之前，这里是对两者的简要介绍

相互（或双向）SSL身份验证提供了加密数据流、服务器和客户端的相互身份验证以及自动登录便利性的组合

每个请求都需要令牌。这个令牌应该在HTTP头中发送，这样我们就可以理解无状态HTTP请求

从我得到的信息来看，它们可能是彼此的替代品，所以这里有几个问题我想问你，如果你能回答，我将非常感激

• 在我看来，这两种方法都是相互替代的，是吗
• 是吗？那么哪一个比另一个好，为什么
• 没有？那么我们应该使用其中的一个还是两个？还有，它们之间有什么区别，你说它们是不同的

在我看来，这两种方法是相互替代的， 是这样吗

这两种方法都应该根据您的上下文使用。根据需要和安全上下文使用两种方法

没有？那么我们应该使用其中的一个还是两个？还有，有什么问题 它们之间的区别是基于你所说的 不一样

基于令牌的身份验证（OAuth）通常用于需要在移动应用程序/web应用程序和api服务器之间建立安全通信的场景中。在该场景中，设备中未存储密码。它向设备存储一个随时间过期的临时令牌

相互SSL相互身份验证是在两台服务器之间建立安全通信的理想选择

因此，是上下文决定了选择