2
我的最新API即將「發貨」。從「早期發佈和經常發佈」的背景出發,我計劃在更高發布版本中實施oAuth。我是否仍然應該爲我的API提供基本身份驗證
是什麼原因導致Twitter removes Basic Auth from its API?在任何API中使用基本身份驗證有什麼優點和缺點以及安全隱患?
最佳
亨裏克
A
回答
1
的可能(愚見)爲什麼Twitter的去除基本授權是基於這樣的事實,基本授權是基於Base64 encoding。基本授權標頭允許您散列用戶名和密碼的字符串concocuation(用冒號分隔)。
例如(僞代碼,語言獨立的)
String basicAuth = Base64Encode("username:password"); //where username is my username and password is password.
httpRequestHeader.setHeader("Authorization", "Basic " + basicAuth);
竊聽者可以截取HTTP請求,檢索Authorization報頭,並且解碼Base64編碼流,並獲得用戶的用戶名和密碼。編碼器/解碼器代碼可以在互聯網上的任何地方找到。
現在,竊聽者使用該用戶名和密碼登錄到Twitter併成爲「新」用戶(並更改密碼以便當前用戶不再登錄)。
或多或少,基本認證的缺陷可以在here找到。
其次,Twitter想要在發佈商網站上完成身份驗證,而不是通過第三方客戶端遠程發送。 OAuth提供了這樣的能力。
相關問題
- 1. 如何爲Kibana4提供基本身份驗證
- 2. Solr6.3.0 SolrJ API的基本身份驗證
- 3. HtmlMimEmail版本2.0是否提供TLS身份驗證選項?
- 4. 基本身份驗證改造+基本身份驗證
- 5. Office365 REST API基本身份驗證
- 6. Symfony基本API Http身份驗證
- 7. 向WebView提供一些基本的身份驗證憑據?
- 8. Xamarin表單身份驗證 - 身份驗證提供程序?
- 9. Firebase身份驗證:如何驗證用戶是否仍然存在
- 10. 什麼是刪除我的基本身份驗證頭?
- 11. Django - 未提供身份驗證憑證
- 12. AngularJS基本身份驗證
- 13. 基本socket.io身份驗證
- 14. CQ基本身份驗證
- 15. Wcf基本身份驗證
- 16. tomcat基本身份驗證
- 17. 基本身份驗證
- 18. 帶有提取的基本身份驗證(或任何身份驗證)
- 19. RESTful端點的身份驗證 - 基本身份驗證和XHR
- 20. 禁用其他身份驗證的HTTP基本身份驗證
- 21. 我應該先檢查身份驗證還是ModelState.IsValid
- 22. 我可以爲我的Web API使用基於會話的身份驗證嗎?
- 23. 如何使用HttpContext.Current.User.Identity向我的SmtpClient.Credentials提供身份驗證?
- 24. 基於Flask的API的身份驗證?
- 25. Ajax:HTTP基本身份驗證和身份驗證Cookie
- 26. Authlogic - 通過基本HTTP身份驗證進行身份驗證
- 27. CakePHP 2.0身份驗證和基本身份驗證
- 28. 我應該用什麼來代替身份驗證的用戶在我的.cshtml與窗體身份驗證
- 29. 如何使用HTTPS驗證Woocommerce API(基本身份驗證)
- 30. 是否在Asp.Net Web Api控制器中提供身份驗證令牌?