我们正在修改我们的服务器端API,我们需要管理安全性。我们当前的模型要求在每个方法调用中包含一个凭证对象(包含用户,密码和引脚)。但是,我们的开发团队决定我们应该使用会话对象(这对我很好),但新凭据只是一个GUID。这与我在业界其他API中看到的非常不同,所以我有点担心新模型的安全性。我问他们是否已经分析了两种选择,他们说他们没有。
是否有人知道使用一组凭证是否有明显的优势,劣势,风险等,而不仅仅是一个元素(可能是复杂的)?
PS:在任何一种情况下,通信渠道都是安全的,并且它与这一特定主题是分开的
答案 0 :(得分:0)
您可能需要详细描述您的系统 - 例如,它是Web应用程序还是服务。如果它是一个Web应用程序,并且您有一个到客户端的安全通道,那么简单性将非常有利于使用Web容器的会话对象。
每个请求都应该是自我身份验证吗?可能影响您决定的一些因素: