通过HTTPS发出任何请求,并通过以下方式传输令牌:
a)获得https://foo.dom/foobar?auth_token=abcxyz
b)使用HTTP-header获取https://foo.dom/foobar,例如X-FOOBAR-TOKEN:abcxyz
据我所知,在HTTP请求的情况下,客户端首先协商SSL连接,并且仅在成功建立安全连接的情况下传输其他参数和/或HTTP头。
到目前为止我是对的吗?
感谢任何建议。 菲利克斯
答案 0 :(得分:2)
SSL会为您购买传输加密,因此在从站点发送/发送身份验证令牌时,任何人都无法阻止身份验证令牌。可以针对SSL执行一些中间人攻击,但通常SSL应该保护令牌内容。
安全性的成败取决于Token it-self是否具有加密安全性。如果可以说这是真的那么你就是金色的。查看此网站http://web.mit.edu/kerberos/dialogue.html。
还有很多其他网站使用secrue令牌进行身份验证,请参阅:http://docs.amazonwebservices.com/AmazonS3/latest/dev/index.html?RESTAuthentication.html。