我想构建一个使用HTTP Basic Auth的API,但要做到这一点,我需要客户端以纯文本形式存储用户密码,然后将其与每个请求一起发送。我真的不想这样做。
我不能将OAuth用于此API,或让客户注册其应用以使用API。
有关替代授权方法的任何建议吗?
答案 0 :(得分:2)
你的威胁模型是什么?换句话说,您试图解决的风险是什么? 如果您担心以纯文本格式发送凭据,则可以将SSL与HTTP Basic Auth一起使用。此外,您可以查看 -
1)使用摘要式身份验证
2)SSL客户端证书身份验证(这可能不起作用,因为您说您无法注册应用程序ID ..并且要使cert auth工作,您至少需要要验证的证书的公钥
3)如果是内部应用程序,您可以使用kerberos(Windows)身份验证