我正在学习Web API和一般API的方法论。
目前,我正在研究身份验证。
我知道有几种API身份验证和授权的方式。最常见的似乎是令牌验证。
我还看到了SAML,我也知道x509(从我的WCF时代开始)。
今天我想谈论Bearer令牌。Bearer令牌作为标头传递。标头未加密可能没有加密? 因此,可能有人可以抓取该令牌并未经同意冒充用户。这是我对Bearer令牌的看法。今天许多受欢迎的服务都使用此方法进行API身份验证。
除了Bearer令牌以外,还有哪些其他选项可以像HMAC消息等一样安全,但更加安全?
我似乎对许多身份验证方法有所了解。 我正在努力了解更多,并希望构建一个非常安全的API,允许SSO(单点登录)-如果Bearer令牌是最好的选择,那太好了,它是一种非常简单且开箱即用的解决方案。 如果有更好且更安全的选择,即使工作量和时间远远超过Bearer令牌,我也会保持开放态度。
我不知道为什么我不喜欢Bearer令牌的声音,但它似乎太容易被攻击和利用了。特别是对于与支付相关的服务。
谢谢!
OAuthBearerAuthenticationProvider
中,很可能还有一个用于创建令牌的事件。http://www.pressinganswer.com/81522/how-do-you-reject-a-katana-bearer-tokens-identity - Nathan A