Meccanismo di autenticazione senza inviare password sul lato server

2

Il mio cliente utilizza attualmente Password remota sicura (con SSL) per l'autenticazione. La ragione è che non vuole inviare la password dell'utente sul lato server, per provare che nessun dato utente confidenziale è memorizzato sul lato server (solo il sale e il verificatore generati sul lato client sono memorizzati sul lato server , non la password stessa).

È un motivo valido? Se sì, c'è qualche altro meccanismo di autenticazione più standard (come OAuth, JWT, ecc.) Che soddisfa lo stesso requisito?

Ho una nuova applicazione da proteggere, ed è facile trovare framework che forniscano integrazioni fuori dalla scatola con meccanismi come OAuth, SAML, LDAP, JWT, ma nessuno supporta SRP. Dovrebbe andare bene e meno dannoso per noi usare un altro meccanismo diverso da SRP.

    
posta rico 20.06.2018 - 15:47
fonte

0 risposte

Leggi altre domande sui tag