Quale protezione aggiuntiva viene aggiunta a un'API REST su HTTPS mediante l'uso di un tipo di HMAC?

2

Sto progettando un'API RESTFUL che sarà sempre utilizzata su HTTPS, quali vantaggi di sicurezza rispetto all'uso di HTTP Basic Auth potrebbero essere portati al mio sistema usando questo tipo di codici di autenticazione dei messaggi?

Esempio di HMAC potrebbe essere questo uno di AWS.

    
posta gsi-frank 05.09.2013 - 03:30
fonte

1 risposta

5

HTTPS è HTTP-within- SSL e SSL applica già i controlli di integrità, anzi, lo fa con HMAC ( vedere la sezione 6.2.3 ).

L'utilizzo dell'autenticazione di base è sicuro in SSL e sufficiente. Non hai bisogno di un HMAC extra. Il metodo mostrato da AWS ha lo scopo di fornire una sorta di autenticazione in situazioni in cui i dati viaggiano senza protezione, al fine di impedire alle credenziali del client di viaggiare come testo in chiaro, perché un intercettore potrebbe altrimenti impararle; SSL fornisce sia riservatezza che integrità, rendendo questo punto discutibile.

    
risposta data 05.09.2013 - 13:14
fonte

Leggi altre domande sui tag