代码之家  ›  专栏  ›  技术社区  ›  Jamie Rumbelow

RESTful数据库服务器的最佳身份验证解决方案

authentication database
  •  1
  • Jamie Rumbelow  · 技术社区  · 15 年前

    我正在写一个名为phoenix的RESTful数据库服务器。作为一个到整个应用程序数据的简单接口,安全性是一个非常重要的问题,我对你们中的任何人都能提出什么样的身份验证解决方案感兴趣。

    它需要:

    • 安全的 -一定很难打破。签名请求可能是一个很好的方法,但是考虑到它是休息的,没有很多参数被发送,所以我不知道什么好的唱歌会做。
    • 极小值 -我宁愿不使用四个请求来比较HMAC签名请求中的六个令牌——服务器的USP是简单的,所以来自客户机的身份验证必须很容易。
    • 可实施的 -它必须适合系统,这是一个数据库服务器。所以,例如,OAuth不会在这里工作。

    我很想听听你的建议-谢谢!

    杰米

    2 回复  |  直到 15 年前
        1
  •  1
  •   Karl Anderson    15 年前

    这里没有太多关于您的安全性或实现需求的信息。快速回答是基本的,或者通过SSL或签名请求进行摘要。有没有理由不使用这些?

    签名请求通常添加一个时间戳和/或一个nonce,因此任何请求都可以进行身份验证。有关说明和库,请参阅Amazon AWS身份验证文档。

        2
  •  0
  •   ZZ Coder    15 年前

    我有一个类似的服务器。我选择使用OAuth签名是因为它简单,

    http://oauth.net/core/1.0#signing_process

    我们不强制使用nonce,只需将时间戳限制为一个短窗口(30秒)即可阻止重播。

    OAuth库在许多平台上都可用,因此您不必编写太多代码来实现它。不知道为什么你认为OAuth不可实现。

    对于每个允许访问数据的客户机,都分配了一个客户机密钥和一个客户机密钥。所有的请求都是用消费者机密签名的,因此只有知道该机密的客户机才能访问。

    我们还考虑了其他选择。基于SSL的HTTTP基本身份验证过于昂贵。HTTP摘要身份验证太慢,因为它需要等待挑战。

    推荐文章
    Manav Kushwaha  ·  凭据身份验证无法在NextJs应用程序路由器中使用NextAuth执行
    1 年前
    gametaker1985  ·  致命错误:无法在/home/claymati/public_html/login中的写入上下文中使用函数返回值。php第28行
    2 年前
    Svetoslav Stoyanov  ·  AzerothCore无法连接到服务器,可能是客户端发送的WorldSocket请求格式错误
    2 年前
    dippynark  ·  是否可以使用与apiserver请求关联的“extra”属性与RBAC做出授权决策?
    6 年前
    data_henrik  ·  如何将Python OpenID Connect模块与IBM云应用程序ID一起使用?
    6 年前
    drewrockshard  ·  将密码与本地文件名匹配
    6 年前
    Bassie  ·  我的凭据存储在哪里?
    6 年前
    Marc  ·  getAuthEntity失败“无法匹配预期类型”
    6 年前
    J. Hesters  ·  Django Rest框架:我应该使用什么进行身份验证?我应该如何使用它?
    6 年前
    vikash vishnu  ·  任何可用插件都不支持身份验证方法“caching\u sha2\u password”
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号