我应该使用什么协议来保护网络服务。我正在考虑使用CHAP,但在Web服务方面我找不到多少。 SubAuth和OAuth更多的是提供Web服务访问其他东西,所以这不是我正在寻找的。 我需要对用户进行身份验证,而无需通过该行发送凭据。
我已经阅读了一些与安全相关的问题,并发现了一些关于挑战响应身份验证和三通协议的内容,但没有任何内容与Web服务直接相关。
任何人都有这方面的经验吗?
非常感谢。
答案 0 :(得分:1)
网络服务?那么,也许,HTTPS(使用SSL客户端证书或HTTP身份验证)或HTTP摘要身份验证?
这取决于安全模型 - 您想要提供服务的对象(公共?企业网络?一些网站本地的东西?),您想要保护什么以及您希望牺牲性能和安全性的可用性(重负载SSL几乎肯定会占用大量的CPU时间)等等。
答案 1 :(得分:1)
如果您找不到任何与CHAP相关的信息,那么很可能没有任何关系。
通常,要么使用SSL(HTTPS),要么使用WS-Security。但是,如果安全性实际上很重要,那么通常首先要了解Web服务中的安全性。
答案 2 :(得分:0)
OAuth可以在解决直接访问方案方面做得同样出色,也称为双方方案。这就是我们采用的协议。