2
我的最新API即将“发货”。从“早期发布和经常发布”的背景出发,我计划在更高发布版本中实施oAuth。我是否仍然应该为我的API提供基本身份验证
是什么原因导致Twitter removes Basic Auth from its API?在任何API中使用基本身份验证有什么优点和缺点以及安全隐患?
最佳
亨里克
A
回答
1
的可能(愚见)为什么Twitter的去除基本授权是基于这样的事实,基本授权是基于Base64 encoding。基本授权标头允许您散列用户名和密码的字符串concocuation(用冒号分隔)。
例如(伪代码,语言独立的)
String basicAuth = Base64Encode("username:password"); //where username is my username and password is password.
httpRequestHeader.setHeader("Authorization", "Basic " + basicAuth);
窃听者可以截取HTTP请求,检索Authorization报头,并且解码Base64编码流,并获得用户的用户名和密码。编码器/解码器代码可以在互联网上的任何地方找到。
现在,窃听者使用该用户名和密码登录到Twitter并成为“新”用户(并更改密码以便当前用户不再登录)。
或多或少,基本认证的缺陷可以在here找到。
其次,Twitter想要在发布商网站上完成身份验证,而不是通过第三方客户端远程发送。 OAuth提供了这样的能力。
相关问题
- 1. 如何为Kibana4提供基本身份验证
- 2. Solr6.3.0 SolrJ API的基本身份验证
- 3. HtmlMimEmail版本2.0是否提供TLS身份验证选项?
- 4. 基本身份验证改造+基本身份验证
- 5. Office365 REST API基本身份验证
- 6. Symfony基本API Http身份验证
- 7. 向WebView提供一些基本的身份验证凭据?
- 8. Xamarin表单身份验证 - 身份验证提供程序?
- 9. Firebase身份验证:如何验证用户是否仍然存在
- 10. 什么是删除我的基本身份验证头?
- 11. Django - 未提供身份验证凭证
- 12. AngularJS基本身份验证
- 13. 基本socket.io身份验证
- 14. CQ基本身份验证
- 15. Wcf基本身份验证
- 16. tomcat基本身份验证
- 17. 基本身份验证
- 18. 带有提取的基本身份验证(或任何身份验证)
- 19. RESTful端点的身份验证 - 基本身份验证和XHR
- 20. 禁用其他身份验证的HTTP基本身份验证
- 21. 我应该先检查身份验证还是ModelState.IsValid
- 22. 我可以为我的Web API使用基于会话的身份验证吗?
- 23. 如何使用HttpContext.Current.User.Identity向我的SmtpClient.Credentials提供身份验证?
- 24. 基于Flask的API的身份验证?
- 25. Ajax:HTTP基本身份验证和身份验证Cookie
- 26. Authlogic - 通过基本HTTP身份验证进行身份验证
- 27. CakePHP 2.0身份验证和基本身份验证
- 28. 我应该用什么来代替身份验证的用户在我的.cshtml与窗体身份验证
- 29. 如何使用HTTPS验证Woocommerce API(基本身份验证)
- 30. 是否在Asp.Net Web Api控制器中提供身份验证令牌?