¿Por qué el protocolo Secure Remote Password no se usa en las API REST?

2

He visto algunos ejemplos del protocolo SRP utilizado para aplicaciones web y me pregunto por qué nadie lo usa para la autenticación RESTful. He investigado un poco y no he podido encontrar ningún ejemplo, ni siquiera uno. SRP junto con las funciones de hashing de contraseñas como bcrypt, scrypt o pbkdf2 me parece bastante sólido, pero parece que nadie lo ha intentado antes, lo que es extraño. ¿Me estoy perdiendo algo aquí que es conceptualmente contradictorio? ¿El protocolo SRP elimina de alguna manera la retención?

    
pregunta leventunver 24.01.2018 - 15:00
fuente

1 respuesta

2

Gran parte de la adopción de tecnología depende de la economía, y SRP no es una excepción. Las tiendas de software generalmente no gastarán ni gastarán dinero en una tecnología específica que no proporciona ningún tipo de beneficio novedoso. Por ejemplo, el beneficio que proporcionaría SRP a una organización sería que no tienen que almacenar contraseñas en su sistema. OpenID ya cumple una función similar. Elegir el SRP significa que una organización tendrá que incurrir en los costos de desarrollar la implementación, aceptar los riesgos de no implementarla correctamente y no ofrecerá ningún beneficio adicional sobre el método más barato (OpenID, etc.)

SRP no viola las prácticas REST, por lo que yo sé.

    
respondido por el user52472 24.01.2018 - 20:50
fuente

Lea otras preguntas en las etiquetas