Para proteger las API de REST, una opción lógica para el control de acceso es JWT, ya sea por sí misma o en combinación con OAuth. Si solo me importa autenticar a la persona que llama, verificar una firma JWT es suficiente por sí mismo. Si también me importa la autorización, también usaría OAuth o algún tipo de servicio de token. De cualquier manera, estoy incluyendo un encabezado como Authorization: Bearer [JWT token]
en la solicitud HTTP.
AWS tiene su propio estándar para el control de acceso a la API donde firma partes de solicitarse e incluir un encabezado como
Authorization: AWS4-HMAC-SHA256 ....
Mis preguntas:
-
¿Es el enfoque de AWS más seguro contra los ataques de repetición? Creo que sí, porque incluso si tiene una caducidad de token corta, es hipotéticamente posible reutilizar un token de portador en una solicitud diferente. La firma significa que la solicitud no ha sido alterada.
-
si es más seguro, ¿debería considerarse un estándar de la industria como OAuth y JWT? ¿En qué medida los marcos de aplicaciones estándar proporcionan soporte en el lado de la validación? etc.