Estoy diseñando una API RESTFUL que siempre se usará a través de HTTPS. ¿Qué ventajas de seguridad sobre el uso de HTTP Basic Auth podrían llevarse a mi sistema al usar este tipo de códigos de autenticación de mensajes?
HTTPS es HTTP-within- SSL y SSL ya aplica controles de integridad, de hecho, lo hace con HMAC ( Consulte la sección 6.2.3 ).
El uso de la autenticación básica es seguro dentro de SSL y es suficiente. No necesitas un HMAC extra. El método mostrado por AWS pretende proporcionar algún tipo de autenticación en situaciones en las que los datos viajan sin protección, para evitar que las credenciales del cliente viajen como texto sin cifrar, ya que, de otro modo, un intruso podría aprenderlas; SSL proporciona confidencialidad e integridad, lo que hace que este punto sea discutible.
Lea otras preguntas en las etiquetas tls rest hmac integrity replay-detection