Безопасна ли аутентификация на основе токенов, когда

Question

любой запрос делается через HTTPS, и токен передается следующими способами:

a) GET https://foo.dom/foobar?auth_token=abcxyz

b) GET https://foo.dom/foobar с HTTP-заголовком, подобнымX-FOOBAR-TOKEN: abcxyz

Как я понимаю, SSL, в случае запроса HTTP, клиент сначала согласовывает соединение SSL и передает только дополнительные параметры и / или заголовки HTTP в случае успешного установления безопасного соединения.,

Прав ли я до сих пор?

Спасибо за любые предложения.Felix

Answer 1

SSL покупает у вас шифрование транспорта, чтобы никто не мог получить токен авторизации во время его отправки / получения с сайта. Существуют некоторые атаки типа «человек посередине» против SSL, но обычно SSL должен защищать содержимое токена.

Что делает или нарушает безопасность, так это то, является ли токен сам по себе криптографически безопасным. Если это можно сказать, чтобы быть правдой, то вы золотой. Проверить этот сайт http://web.mit.edu/kerberos/dialogue.html.

Существует множество других сайтов, использующих токены безопасности для аутентификации, см .: http://docs.amazonwebservices.com/AmazonS3/latest/dev/index.html?RESTAuthentication.html.