一千萬個為什麽

搜索

什麽是最新的安全用戶身份驗證方法?

我正在計劃一項Web服務,並對當前的安全用戶身份驗證方法進行了一些研究。

谷歌和Facebook正在做什麽被視為行業標準?

最佳答案

對“Web服務”的身份驗證...您的意思是SOAP/HTTP(S)還是網頁?這兩種情況的答案有所不同!

  • 對於SOAP/HTTPS,您正在使用帶有SAML/XACML令牌的WS-Security套件。權限可以通過多種方式派生,例如Kerberos或VOMS。這顯然是非平凡的,您需要弄清楚服務“生態系統”中的所有其他部分是什麽,並確保您與之互操作。
  • 對於網頁,請查看OpenID或Shibboleth作為從其他人維護的來源獲取身份驗證令牌的方法。據我了解,OpenID更適合開放的互聯網,Shibboleth更適合企業部署(它專為處理大學處理網頁登錄等問題而設計)。

如果您正在做一個充當安全Web服務門戶的網頁,則可以橋接上面的兩組服務,以便使用瀏覽器介導的OpenID技術生成加密令牌,然後用於與之交談。後端。但這真的非常重要! (不是我的專業領域,而是與 的人合作。)


[編輯]:當然,如果你只是詢問一般登錄方法,那麽它是微不足道的。用戶真正接受的唯一一個是在網頁中輸入用戶名和密碼,即便如此,只有非常不經常使用。如果你要做到這一點,請記住只允許通過HTTPS登錄,你應該只允許他們登錄系統的頁面通過HTTPS提供,你必須付出努力。 -XSS裝甲(一個經典的SO問題!)

轉載註明原文: 什麽是最新的安全用戶身份驗證方法?