Perché AWS sta eliminando gradualmente l'autenticazione della chiave pubblica / privata? [chiuso]

2

Sto lavorando alla strategia di autenticazione per la mia app (di nuovo). La mia strategia attuale è un clone della strategia AWS di emissione di chiavi pubbliche e private e il loro utilizzo per firmare le richieste inviate alla mia API.

La mia comprensione è che questo è un modo ragionevolmente sicuro per autenticare i consumatori di API. Tuttavia, AWS sta eliminando questa pratica e non so davvero perché.

C'è qualcosa che non so sull'autenticazione della chiave privata / pubblica che pone un rischio per la sicurezza al mio servizio o ai suoi utenti?

È sicuro continuare questa pratica, o dovrei mordere il proiettile e passare a OAUTH o qualche altra strategia?

Il contesto per il gusto di questa domanda è che questa strategia viene utilizzata per autenticare i consumatori della mia API JSON-RPC. Lato client, la chiave privata viene utilizzata per hash vari dati contenuti all'interno dell'oggetto JSON; lato server viene recuperata la stessa chiave per confrontare un hash dei dati ricevuti con la firma.

Grazie per l'aiuto.

    
posta AJB 21.05.2014 - 01:29
fonte

0 risposte

Leggi altre domande sui tag