我将创建一个应用程序,该应用程序将具有一个常规的Web界面,用户可以在其中注册,访问一些资源。
我正在阅读不同的身份验证方式 - 基本身份验证、摘要式身份验证、openid 、oauth、oauth2...
我想知道的是,如果我实施基本或摘要式身份验证,那么它是否安全?因为在我访问的许多网站中,谈论的是oauth及其安全性。在我访问的一些网站中也提到了开放ID......
我正在研究最终用户身份验证的当前使用方案是针对 Web 应用程序中的 Web 界面。另一个使用场景是基于 JAX-RS 的 Web 服务。对于这两种使用方案,哪种身份验证方式是安全的?理想情况下,我想在两种情况下使用相同的身份验证方式......
对于面向用户的部分,Web浏览器开箱即用地支持基本和摘要。此外,如果您使用 Cookie 建立会话,则基于表单或 OpenID 身份验证将起作用。如果您使用基本,请务必使用 SSL,因为密码将在未加密的消息标头中传递。
OAuth 旨在授权第三方客户端,以便它们可以访问用户拥有的资源,而无需知道用户的密码,也不一定具有与用户本身相同的访问级别。我建议对编程 API 这样做。