身份验证令牌是否应加密?

时间:2013-06-14 15:56:51

标签: security authentication

如果我将HMAC附加到身份验证令牌,则令牌不会被篡改。我注意到许多文章还建议加密令牌(包含用户ID,到期日期和哈希)。加密有什么意义?这不是浪费CPU时间吗? (您必须为每个请求解密令牌。)如果未加密,则任何人都可以看到用户ID和到期日期。那有什么害处?

1 个答案:

答案 0 :(得分:0)

仅使用HMAC是一个可行的选择:http://c2.com/cgi/wiki/wiki?HmacUserAuthentication

但是:注意缺点

  

没有隐私。如果您需要隐私,则需要完全加密:使用SSL。   HmacUserAuthentication用于提供服务的安全性,而不是   隐私。

因此,如果使用普通连接,则需要加密。在SSL的情况下,仅当您想要阻止最终用户读取令牌时才需要额外的加密。