标签: rest authentication https hmac
我正在创建一个REST API并且不熟悉身份验证。经过研究,以下方案安全吗?
用户包括他们的请求的hmac哈希以及他们的密钥。然后,服务器接收请求,使用密钥对其进行哈希处理,并将其与用户提供的哈希值进行比较。如果签出,请完成他们的请求。为了防止重放,您可以让它们包含带有请求和哈希的UTC时间戳。
我知道上面几乎是两条腿的oauth。