我正在开发Web应用程序,安全性是我们在此应用程序中的主要关注点之一。我正在研究不同的API安全方法(在OWASP上提到)并且无法理解Mutual SSL auth和基于令牌的auth之间的区别。以下是我向前迈进的简要介绍,
相互(或双向)SSL身份验证提供加密数据流,服务器和客户端的相互身份验证以及自动登录方便性的组合。
每个请求都需要令牌。此标记应该在HTTP标头中发送,以便我们遵循无状态HTTP请求的想法。
从我得到的,他们两个可能是彼此的替代品,所以这里有一些我想到的问题,如果你能回答它们,我会非常感激。
答案 0 :(得分:5)
在我看来,这两种方法都是彼此的替代品, 是这样吗?
应根据您的上下文使用这两种方法。根据需要和安全上下文使用两种方法。
没有?那么我们应该使用其中一个还是两个?还有,最重要的是什么 它们之间的差异基于你说它们是什么 不同。
基于令牌的身份验证(OAuth)通常用于需要在移动应用/网络应用和api服务器之间建立安全通信的场景中。密码未存储在设备中。它会将临时令牌存储到随时间过期的设备中。
相互SSL 相互身份验证可以很好地在两台服务器之间建立安全通信。
所以这是决定选择的背景!