¿Qué protección adicional se agrega a una API REST sobre HTTPS mediante el uso de algún tipo de HMAC?

2

Estoy diseñando una API RESTFUL que siempre se usará a través de HTTPS. ¿Qué ventajas de seguridad sobre el uso de HTTP Basic Auth podrían llevarse a mi sistema al usar este tipo de códigos de autenticación de mensajes?

El ejemplo de HMAC podría ser this of AWS.

    
pregunta gsi-frank 05.09.2013 - 03:30
fuente

1 respuesta

5

HTTPS es HTTP-within- SSL y SSL ya aplica controles de integridad, de hecho, lo hace con HMAC ( Consulte la sección 6.2.3 ).

El uso de la autenticación básica es seguro dentro de SSL y es suficiente. No necesitas un HMAC extra. El método mostrado por AWS pretende proporcionar algún tipo de autenticación en situaciones en las que los datos viajan sin protección, para evitar que las credenciales del cliente viajen como texto sin cifrar, ya que, de otro modo, un intruso podría aprenderlas; SSL proporciona confidencialidad e integridad, lo que hace que este punto sea discutible.

    
respondido por el Tom Leek 05.09.2013 - 13:14
fuente

Lea otras preguntas en las etiquetas