我有一个使用HTML和JavaScript构建的Web应用程序。在我的应用程序中,我必须与其他多个网站集成。为此,我必须设备通用的安全认证/授权机制。我对其他应用程序和身份验证/授权机制的控制有限。
我最初考虑在cookie中保存密码,并在URL中为所有应用程序发送用户名和密码。这种方法根本不安全。
我考虑使用摘要访问身份验证或公钥身份验证的其他选项。
然后我遇到了基于声明的身份验证机制。
我应该为我的网络应用程序选择哪种机制?
另外,我需要做些什么才能维护安全的身份验证会话?
答案 0 :(得分:0)
身份验证是关于让其他人使用您的服务,或者不是,但授权是关于使用您的服务(如管理员角色或常规用户)可能拥有的权限。