【发布时间】:2013-04-18 02:15:51
【问题描述】:
继 JIRA REST API 的doco 之后,OAuth 和 HTTP Basic 是两种推荐的身份验证方式。我们正在使用 HTTP Basic 和 https,它运行良好且安全。
它们之间的性能有什么区别吗?
【问题讨论】:
【发布时间】:2013-04-18 02:15:51
【问题描述】:
排除初始令牌协商,OAuth 在计算上仍然比基本身份验证更昂贵,因为安全有效负载的大小和签名要求更大。需要执行的额外逻辑的非详尽列表:
- 请求参数规范化
- 请求 URI 规范化
- 生成随机数
- 请求签名计算
- 在接收端反转整个过程
与需要非常简单的散列来计算单个所需标头的基本身份验证相比,OAuth 无疑是一种更昂贵的身份验证。 但是,重要的是要意识到这两种身份验证机制服务于完全不同的目的。基本身份验证用于向主应用程序验证客户端。 OAuth 用于授权第三方从主应用程序访问客户端数据。两者都有自己的位置,选择一个而不是另一个应该由实现的特定用例驱动。
【讨论】:
-
择一时应考虑哪些因素?