authentication - 什么是最新的安全用户身份验证方法？

Question

我正在计划一个 Web 服务，并研究一下当前的安全用户身份验证方法。

Google 和 Facebook 的做法是否被视为行业标准？

Answer 1

“Web 服务”的身份验证...您是指 SOAP/HTTP(S) 还是网页？这两种情况的答案是不同的!

• 对于 SOAP/HTTPS，您是在谈论使用带有 SAML/XACML token 的 WS-Security 套件。授权可以通过多种方式获得，例如 Kerberos 或 VOMS。这显然很重要，您需要弄清楚服务“生态系统”中的所有其他部分都在做什么，并确保您与之互操作。
• 对于网页，请查看 OpenID 或 Shibboleth 以作为从其他人维护的源中获取身份验证 token 的方法。据我了解，OpenID 更适合开放互联网，而 Shibboleth 更适合企业部署(它旨在处理大学网页登录等问题)。

如果您正在制作一个充当安全网络服务门户的网页，则可以桥接上述两组服务，以便使用以浏览器为媒介的 OpenID 技术生成加密 token ，然后用于与后端交谈。但这真的非常重要! (不是我的专业领域，而是与 适合的人一起工作。)

---

[编辑]:当然，如果您只是询问一般的登录方法，那是微不足道的。用户真正接受的唯一方法是在网页中输入用户名和密码，即使这样，也只有在非常不频繁的情况下才会这样做。如果你要达到这个目的，请记住只允许通过 HTTPS 登录，你应该只允许他们登录系统的页面也通过 HTTPS 提供服务，你将不得不努力反-XSS armoring(一个经典的 SO 问题!)