我正在寻找一种简单的身份验证协议(OpenID,Active Directory,??),供用户登录我的网站。它托管在Windows Azure上。需要高水平的安全性。您能推荐什么以及为何选择这个特定的选择?
注意:此时我不会使用SSL,因此不能传输纯文本密码。然而,我将来会转换到SSL环境。
答案 0 :(得分:1)
您的站点/服务将通过专线,敏感,专有等传输的数据?如果是这样,那么您必须实施SSL,以防止任何拥有数据包嗅探器的人直接从线路中窃取数据。
为了执行安全身份验证,您需要使用SSL之类的东西来建立安全通信传输,您可以通过该传输从身份提供者请求和接收SAML(或类似)身份令牌。
如果您不使用SSL来保护您的通信,那么恶意第三方窃取身份令牌并伪装成经过身份验证的用户和/或记录/监控/修改系统任何用户的每个请求都是微不足道的!
您不使用SSL的原因是什么?