Какой протокол использовать для аутентификации в веб-сервисе?

Question

Какой протокол мне следует использовать для защиты веб-службы. Я рассматриваю CHAP, но я не могу найти много об этом в отношении веб-сервисов. SubAuth и OAuth больше предоставляют доступ к веб-сервисам для чего-то другого, так что это не то, что я ищу. Мне нужно аутентифицировать пользователя без отправки его учетных данных по линии.

Я прочитал ответы на некоторые вопросы, связанные с безопасностью, и узнал кое-что об аутентификации ответа на вызов и трехпроходном протоколе, но ничего не было напрямую связано с веб-службами.

Кто-нибудь имеет опыт с этим?

Помощь высоко ценится.

Answer 1

Если вы не можете найти что-либо, связывающее CHAP с веб-сервисами, скорее всего, нет никаких отношений.

Как правило, либо используется SSL (HTTPS), либо WS-Security. Однако, если безопасность действительно имеет значение , обычно сначала изучают безопасность в веб-сервисах.

Answer 2

Веб-сервис? Тогда, может быть, HTTPS (с SSL-сертификатами клиента или HTTP-аутентификацией) или HTTP Digest аутентификация?

Это зависит от модели безопасности - кому вы хотите предоставлять услугу (общедоступная? Корпоративная сеть? Какие-то локальные материалы сайта?), Что вы хотите обезопасить и сколько вы хотите жертвовать производительностью и удобством использования для обеспечения безопасности ( при большой нагрузке SSL почти наверняка потребляет много процессорного времени) и т. д.

Answer 3

OAuth может одинаково хорошо справляться со сценарием прямого доступа, также известным как двухсторонний сценарий. Это протокол, по которому мы пошли.