1. 首页
  2. 问答
  3. 在Web服务中使用哪种协议进行身份验证?

在Web服务中使用哪种协议进行身份验证?

2009-06-08 87 views
1

我应该使用什么协议来保护web服务。我正在考虑CHAP,但我无法在网络服务方面找到很多关于它的内容。 SubAuth和OAuth更关心的是将Web服务访问权限赋予其他内容,所以这不是我所期待的。 我需要验证用户而不通过线路发送凭证。在Web服务中使用哪种协议进行身份验证?

我已经阅读了一些与安全相关的问题,发现了一些关于挑战响应身份验证和三通协议的内容,但没有任何内容与Web服务直接相关。

任何人都有这方面的经验?

帮助高度赞赏。

来源

2009-06-08 gijswijs

+0

当我说安全时,我并不清楚。 Web服务将在HTTPS下运行,所以通信是安全的。我试图说的是,我应该使用什么协议进行身份验证?目前,我认为OAuth Direct Access是最佳选择。你们有没有经验? – gijswijs 2009-06-24 12:41:34

回答

0

OAuth可以在解决直接访问方案(也称为双腿方案)方面做得同样出色。所以这是我们的协议。

来源

2010-03-31 11:44:23 gijswijs

1

Web服务?然后,也许,HTTPS(使用SSL客户端证书或HTTP验证)或HTTP摘要验证?

这取决于安全模型 - 你想提供服务的人(公共?公司网络?一些本地站点的东西?),你想要保护什么?你想牺牲多少性能和可用性? (重载SSL几乎肯定会吃掉很多CPU时间)等等。

来源

2009-06-08 10:44:06 drdaeman

1

如果您找不到CHAP与Web服务相关的任何内容,那么机会就没有关系。

通常,要么使用SSL(HTTPS),要么使用WS-Security。但是,如果安全性实际上很重要,则通常首先了解Web服务中的安全性。

来源

2009-06-08 11:00:48

相关问题

 相关问题