什么是最新的安全用户身份验证方法?

时间:2010-04-17 22:40:03

标签: authentication

我正在计划一项网络服务,并对当前的安全用户身份验证方法进行一些研究。

谷歌和Facebook正在做什么被视为行业标准?

2 个答案:

答案 0 :(得分:2)

对“Web服务”的身份验证...您的意思是SOAP / HTTP(S)还是网页?两种情况的答案不同!

  • 对于SOAP / HTTPS,您正在使用带有SAML / XACML令牌的WS-Security套件。权限可以通过多种方式派生,例如Kerberos或VOMS。这显然是非平凡的,您需要弄清楚服务“生态系统”中的所有其他部分是什么,并确保您与之互操作。
  • 对于网页,请查看OpenID或Shibboleth作为从其他人维护的来源获取身份验证令牌的方法。据我了解,OpenID更适合开放的互联网,Shibboleth更适合企业部署(它专为处理大学处理网页登录等问题而设计)。

如果您正在做一个充当安全Web服务门户的网页,则可以桥接上面的两组服务,以便使用浏览器介导的OpenID技术生成加密令牌,然后将其用于跟后端说话。但这真的非常重要! (不是我的专业领域,而是与 的人合作。)

[编辑]:当然,如果你只是询问一般登录方法,那么它是微不足道的。用户真正接受的唯一一个是在网页中输入用户名和密码,即使这样,只有非常不频繁。如果你要做到这一点,请记住只允许通过HTTPS登录,你应该只允许他们登录系统的页面也通过HTTPS提供,你必须付出努力。 -XSS装甲(一个经典的SO问题!)

答案 1 :(得分:1)

这取决于你需要什么样的安全性,但一般来说,身份验证协议是最后一件事。实施缺陷被更频繁地利用。

如果您需要Web服务的安全性,并且您需要的不仅仅是简单的用户名和密码(使用密码强度策略),请考虑

  • ssl(具有相互身份验证)
  • 的Kerberos
  • 零知识协议(lightweigth)

但是,无论你选择什么,都不要让它复杂化并确保实施是安全的,因为你的安全性和最薄弱的一样好

相关问题
最新问题