公开网络服务，安全问题

Question

我创建了一个基于https的网络服务，我与朋友分享。我担心webservice的安全性，因为如果从服务器端发出请求，用户名和密码将起作用。但是，如果我想提供像twitter这样的小部件，我担心在html中有认证代码。

行业最佳做法是什么？

此致 巴拉

Answer 1

回顾以下

• 客户端证书 - 允许服务器识别客户端 - 这是最安全，最经批准的标准方式。
• 某些Web服务使用“客户端证书”方法，但以本机方式实现。所以你揭示了一些提供不对称签名交换的方法。在哪里与客户公共部分交换密钥。调用所有其他服务方法接受会话密钥，即在客户端匹配上检查。 （此会话密钥也可以存储在cookie中）。
• 一次性密码 - 相当快，你生成一些盐并以公共方式为客户提供。客户端必须每次都从秘密ID和这个盐计算哈希值，并将其用作每个方法的参数。
• Google API / Yahoo API ...使用识别客户的唯一字符串，当然它可以被泄露，但对于公共服务，它足以识别禁用帐户的问题。