基于令牌的身份验证安全吗？

Question

任何请求都是通过 HTTPS 发出的，并且令牌通过以下方式传输：

a) GET https://foo.dom /foobar?auth_token=abcxyz

b) 使用 HTTP- GET https://foo.dom/foobar标头像 X-FOOBAR-TOKEN: abcxyz

据我了解 SSL，在 HTTP 请求的情况下，客户端首先协商 SSL 连接，并且仅在安全连接成功建立的情况下传输附加参数和/或 HTTP 标头。

到目前为止我是对的吗？

谢谢任何建议。 菲利克斯

Answer 1

SSL 为您购买传输加密，因此在从站点发送/接收身份验证令牌时，没有人可以获取该身份验证令牌。有一些中间人攻击可以针对 SSL 执行，但通常 SSL 应该保护令牌内容。

安全性的成败在于令牌本身是否具有加密安全性。如果这是真的，那么你就是金子。查看此网站 http://web.mit.edu/kerberos/dialogue.html 。

还有很多其他网站使用安全令牌进行身份验证，请参阅： http://docs.amazonwebservices.com/AmazonS3/latest/dev/index.html?RESTAuthentication.html。