Perché il protocollo Secure Remote Password non viene utilizzato nelle API REST?

2

Ho visto alcuni esempi di protocollo SRP utilizzati per le applicazioni Web e mi chiedo perché nessuno lo abbia mai usato per l'autenticazione RESTful. Ho fatto delle ricerche e non ho trovato nessun singolo esempio, nemmeno uno. SRP insieme a funzioni di hashing della password come bcrypt, scrypt o pbkdf2 mi sembra abbastanza solido, ma sembra che nessuno l'abbia mai provato prima, il che è strano. Mi manca qualcosa qui che è concettualmente contraddittorio? Il protocollo SRP in qualche modo rimuove RESTfulness?

    
posta leventunver 24.01.2018 - 15:00
fonte

1 risposta

2

Gran parte dell'adozione della tecnologia dipende dall'economia e SRP non fa eccezione. In genere i negozi di software non spendono o non investono denaro su una tecnologia specifica che non offre alcun nuovo vantaggio. Ad esempio, il vantaggio che SRP fornirebbe a un'organizzazione sarebbe che non devono memorizzare le password nel proprio sistema. OpenID svolge già un ruolo simile. Scegliere SRP significa che un'organizzazione dovrà sostenere i costi di sviluppo dell'implementazione, accettare i rischi di non implementarla correttamente e non fornire alcun ulteriore vantaggio rispetto al metodo più economico (OpenID, ecc.)

SRP non viola le pratiche RESTful, per quanto ne so.

    
risposta data 24.01.2018 - 20:50
fonte

Leggi altre domande sui tag