我需要加密从浏览器发送到 RESTful Web 服务 (https) 的帖子数据并对其进行正确身份验证。我浏览了不同的可用选项,遇到了不同的术语,例如 JWT、Oauth 2.0
看完 jwt 和 oauth2 有几个问题。
1) jwt 是 header、payload 和 secret 的组合——这是一种可靠的方法。 2)Oauth2.0 2条腿方法-生成访问令牌并使用它直到过期-生成令牌的身份验证如何
你们能否介绍一下保护数据和正确验证数据的最佳方法。
tia
【问题讨论】:
标签: javascript authentication browser oauth jwt
我需要加密从浏览器发送到 RESTful Web 服务 (https) 并对其进行正确身份验证。
将使用 HTTPS 对您的发布数据进行加密,但关于身份验证,如果代表用户发布数据(例如,根据 RFC 6749 的资源所有者),您可以使用 OAuth 2.0。
如果您没有以资源所有者的名义执行任何操作,您可以根据 RFC 6749 使用客户端凭据授权类型:https://www.rfc-editor.org/rfc/rfc6749#section-4.4(但请记住,您的客户端应用程序需要针对授权进行注册应该被资源服务器识别的服务器 - 您的 restful web 服务 - 以执行令牌验证)。
关于 JWT 在这种情况下的使用,它可以用作资源服务器(您的 RESTful Web 服务)应该能够检查的自包含访问令牌。考虑到这种令牌验证,授权服务器和资源服务器都必须知道 JWT。
还有一件事:请记住,OAuth 2.0 不是身份验证协议。它是一个授权框架,可用于构建身份验证协议(OpenID Connect 就是一个例子)。
【讨论】: