Tôi đang phát triển một ứng dụng web và bảo mật là một trong những mối quan tâm chính của chúng tôi trong ứng dụng này. Tôi đang xem xét các phương pháp bảo mật API khác nhau (trong OWASP được đề cập trong ), không thể hiểu được sự khác biệt giữa xác thực SSL lẫn nhau và xác thực dựa trên mã thông báo. Trước khi tiếp tục, đây là phần giới thiệu ngắn gọn về cả hai,
Xác thực SSL lẫn nhau (hoặc hai chiều) cung cấp sự kết hợp của luồng dữ liệu được mã hóa, xác thực lẫn nhau của cả máy chủ và máy khách cũng như sự thuận tiện khi đăng nhập tự động.
Source
Mỗi yêu cầu sẽ yêu cầu mã thông báo. Mã thông báo này phải được gửi trong tiêu đề HTTP để chúng tôi tuân thủ ý tưởng về các yêu cầu HTTP không trạng thái.
Source
Theo tất cả những gì tôi biết, chúng có thể thay thế cho nhau, vì vậy đây là một số câu hỏi tôi nghĩ đến và tôi sẽ rất biết ơn nếu bạn có thể trả lời chúng.
- Đối với tôi, có vẻ như hai phương pháp này có thể thay thế cho nhau phải không?
- Vâng? Vậy cái nào tốt hơn và tại sao?
- KHÔNG? Vậy chúng ta nên sử dụng một hay cả hai? Ngoài ra, sự khác biệt giữa chúng dựa trên những gì bạn đang nói.
Theo tôi, cả hai phương pháp này đều là lựa chọn thay thế cho nhau phải không?
Cả hai phương pháp nên được sử dụng tùy thuộc vào ngữ cảnh của bạn. Sử dụng cả hai phương pháp tùy thuộc vào nhu cầu và bối cảnh bảo mật của bạn.
Không? Vậy thì chúng ta nên sử dụng một trong những thứ này hay cả hai? Ngoài ra, sự khác biệt giữa chúng là gì, dựa vào đó bạn cho rằng chúng khác nhau.
Xác thực dựa trên mã thông báo (OAuth) thường được sử dụng trong các tình huống cần thiết lập liên lạc an toàn giữa ứng dụng di động/ứng dụng web và máy chủ API. Mật khẩu không được lưu trữ trên thiết bị. Nó lưu trữ mã thông báo tạm thời cho thiết bị sẽ hết hạn theo thời gian.
SSL lẫn nhau Xác thực lẫn nhau hoạt động tốt để thiết lập liên lạc an toàn giữa hai máy chủ.
Vì vậy, chính bối cảnh quyết định sự lựa chọn!
Tôi là một lập trình viên xuất sắc, rất giỏi!