使用这两种方法我都使用SSL。
两者对我来说都是安全的。 但如果SSL中断则存在差异。
1)基本身份验证:如果没有SSL,有人可以抓取用户名+密码并永久使用它。
2)令牌身份验证:如果没有SSL,有人可以在中间攻击中做一个人并窃取我的令牌并使用它,但仅限于某段时间我会说令牌创建日期+ 8小时,带有该令牌的每个请求都无效,因为令牌无效。
基于令牌的身份验证与基本身份验证还有其他优势吗?
答案 0 :(得分:0)
使用身份验证令牌(例如OAuth2)的一个主要优点是客户端应用程序不需要在本地保存凭据。客户端应用程序为初始登录发送一次凭据,只要您不需要重新授权应用程序,当客户端应用程序提示用户再次输入时,就会忘记它们。
与版本1相比,OAuth2不要求您签署请求;可以使用不记名令牌,只要它没有任何措施有效,这似乎是一个安全问题,但这个过程利用了简化。