没有客户端以纯文本格式存储密码的基本Auth API?

时间:2012-08-27 23:56:59

标签: security api http authentication basic-authentication

我想构建一个使用HTTP Basic Auth的API,但要做到这一点,我需要客户端以纯文本形式存储用户密码,然后将其与每个请求一起发送。我真的不想这样做。

我不能将OAuth用于此API,或让客户注册其应用以使用API​​。

有关替代授权方法的任何建议吗?

1 个答案:

答案 0 :(得分:2)

你的威胁模型是什么?换句话说,您试图解决的风险是什么? 如果您担心以纯文本格式发送凭据,则可以将SSL与HTTP Basic Auth一起使用。此外,您可以查看 -

1)使用摘要式身份验证

2)SSL客户端证书身份验证(这可能不起作用,因为您说您无法注册应用程序ID ..并且要使cert auth工作,您至少需要要验证的证书的公钥

3)如果是内部应用程序,您可以使用kerberos(Windows)身份验证