모든 요청이 HTTPS를 통해 만들어 질 때 안전하며 토큰은 다음과 같은 방법으로 전송된다 :토큰 기반 인증
A) X-FOOBAR 토큰과 같은 HTTP 헤더와 https://foo.dom/foobar를 GET) https://foo.dom/foobar?auth_token=abcxyz
B를 GET : abcxyz
내가 SSL을 알고 있기 때문에 HTTP 요청의 경우 클라이언트는 먼저 SSL 연결을 협상하고 보안 연결이 성공적으로 이루어진 경우 추가 매개 변수 및/또는 HTTP 헤더 만 전송합니다.
지금까지 내가 옳은가요?
Thx fur any suggestion. Felix
SSL은 전송의 암호화를 구매하므로 아무도 인증 토큰을 사이트에서 보내거나받는 동안 방해를받을 수 없습니다. SSL에 대해 수행 할 수있는 man-in-the-middle 공격이 있지만 일반적으로 SSL은 토큰 컨텐츠를 보호해야합니다.
보안을 설정하거나 해제하는 것은 토큰 자체가 암호로 보호되는지 여부입니다. 그 말이 사실이라면 당신의 황금색입니다. 이 사이트 http://web.mit.edu/kerberos/dialogue.html을 확인하십시오.
인증을 위해 토큰을 사용하는 사이트가 많이 있습니다 (http://docs.amazonwebservices.com/AmazonS3/latest/dev/index.html?RESTAuthentication.html 참조).
Shawn, thx이 상세한 답변을! 내 하루 만들었 어. – GeorgieF
당신은 환영합니다! :디 –
SSL이있는 상태에서 전체 보안을 기반으로한다면 웹 서버를 일반 텍스트로 제공 할 수 없는지 확인하십시오. – Marcin
물론, 내 경우에는 ssl_requirement가이 작업을 수행합니다. – GeorgieF