Per proteggere le API REST, una scelta logica per il controllo degli accessi è JWT da sola o in combinazione con OAuth. Se mi interessa solo autenticare il chiamante, verificare una firma JWT è sufficiente da solo. Se mi interessa anche dell'autorizzazione, utilizzerei OAuth, o qualche tipo di servizio token. Ad ogni modo, includo un'intestazione come Authorization: Bearer [JWT token]
nella richiesta HTTP.
AWS ha il proprio standard per il controllo dell'accesso API in cui si firmano parti del si richiede e include un'intestazione come
Authorization: AWS4-HMAC-SHA256 ....
Le mie domande:
-
l'approccio di AWS è più sicuro contro gli attacchi di riproduzione? Penso di sì, perché anche se hai una scadenza breve del token, è ancora ipoteticamente possibile riutilizzare un token al portatore su una richiesta diversa. La firma indica che la richiesta non è stata manomessa.
-
se è più sicuro, dovrebbe essere considerato uno standard del settore come OAuth e JWT? In che misura i framework delle app standard forniscono supporto sul lato della validazione? ecc.