Sto progettando un'API RESTFUL che sarà sempre utilizzata su HTTPS, quali vantaggi di sicurezza rispetto all'uso di HTTP Basic Auth potrebbero essere portati al mio sistema usando questo tipo di codici di autenticazione dei messaggi?
Esempio di HMAC potrebbe essere questo uno di AWS.
HTTPS è HTTP-within- SSL e SSL applica già i controlli di integrità, anzi, lo fa con HMAC ( vedere la sezione 6.2.3 ).
L'utilizzo dell'autenticazione di base è sicuro in SSL e sufficiente. Non hai bisogno di un HMAC extra. Il metodo mostrato da AWS ha lo scopo di fornire una sorta di autenticazione in situazioni in cui i dati viaggiano senza protezione, al fine di impedire alle credenziali del client di viaggiare come testo in chiaro, perché un intercettore potrebbe altrimenti impararle; SSL fornisce sia riservatezza che integrità, rendendo questo punto discutibile.
Leggi altre domande sui tag rest hmac tls integrity replay-detection