用OAuth保护用于移动使用的REST
用OAuth保护用于移动使用的REST
提问于 2013-10-30 11:25:28
我对保安完全是个新手,所以请原谅我说错了什么。
我得发展一个社交网络。客户端将是一个Android应用程序,(可能)是智能手机使用REST的网页。由于社交网络的特点,如果用户的信息被窃取,这不是很重要,但是,我必须通过用户名/密码登录来识别每个用户,我必须确保每条消息都来自合法用户。
我不想使用SSL (TLS),因为我没有太多的资源,所以我不想忍受SSL的延迟,也不想支付证书的费用。那么,使用OAuth来保护REST是个好主意吗?有什么更好的方法吗?
回答 1
Security用户
发布于 2013-11-01 19:11:44
HTTPS是身份验证通信的绝对要求。HTTPS通常会增加不到2%的CPU需求。和其他的初始握手HTTPS不会增加网络的生死存亡。没有HTTPS,您就违反了OWASP -传输层安全性不足。安全性不仅仅是HTTPS,如果您正在“保护REST”,您必须担心其他粗俗的狂犬病,而OWASP前10是一个很好的开端。
(顺便说一句,这么多年后,人们认为HTTPS是可选的,而且加密是如此巨大的负担,我仍然感到惊讶。我可以每秒执行几百万个AES操作,而且大多数情况下,我无法在一秒钟内加载一个网页。为什么人们认为加密很重?我想要一个解释。)
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/44658
复制相关文章
相似问题
腾讯云开发者
