我加入了现有项目,其中一项任务是确保应用程序是安全的。它是一个桌面应用程序,它会对内部API进行大量调用。当用户需要在其中一个内部API调用上进行身份验证时,他们当前正在通过HTTPS传递POST电子邮件和密码。
这样安全吗?如果不是,那么升级它的最简单方法是什么呢?
答案 0 :(得分:1)
应用程序安全性不是黑白分明的事情。这取决于你必须担心的威胁。
用户名/密码验证很容易实现,但不是保护API的最佳方法。首先,客户端应用程序必须将明文密码保存在内存中,以便与每个请求一起发送。
服务器端必须针对某些商店验证密码。安全密码存储真的很难。
如果您使用的是Active Directory域,Integrated Windows Authentication可能是更好的选择。它对客户端和服务器都是透明的,但它只能在域内工作。
如果它还需要在Intranet之外工作,基于令牌的安全性(如OAuth2)是一个选项,但这需要对客户端和服务进行更多更改。