我正在构建一个需要相当安全的REST API - 没有传递任何付款细节,但我想确保帐户不会被劫持,例如。
我已经看过实现2 Legged Oauth,但我看不到使用基本身份验证通过SSL(使用高熵以编程方式生成的API密钥作为密码)的任何真正优势
它们是否是2 Legged Oauth比SSL基本身份验证通过SSL更安全的场景?
答案 0 :(得分:1)
HTTPS是通过SSL连接发送的完整HTTP数据 如果您使用HTTPS,则通过HTTP基本身份验证发送的数据也会加密 基本上,它应该没有区别 可能是您必须使用HTTP基本身份验证将密码存储在客户端计算机上 有了oAuth,据我所知,只存储了一个令牌。