gpt4 book ai didi

amazon-web-services - 亚马逊网络服务 : Token Vending Machines (anonymous/identity) Encryption

转载 作者:行者123 更新时间:2023-12-04 23:58:07 25 4
gpt4 key购买 nike

基本上,我想知道如果通信是通过 HTTPS 进行的,为什么所有额外的加密步骤?

IE。对于身份:

用户进行身份验证,通过 HTTPS 为该用户提供身份 token ,他们可以使用它来执行您允许的任何操作。如果他们表现不佳,我可以撤销权利并禁止该帐户将来使用代币。

IE。对于匿名:

好吧,如果我提供匿名代币,我们真的不应该让他们做任何可能有害的事情……只给他们代币并希望他们不要滥用它。如果检测到滥用,只需撤销权利并将其列入 IP 黑名单(我的意思是这真的是我当时唯一能做的事情,对吗?)。

除了我上面描述的之外,上面的所有其他复杂性是什么? IE。 “使用使用高级加密标准通过 https 传递的 key 进行加密”,“由时间戳生成的 HMAC 哈希组成的加密签名,使用从密码派生的安全 key ”

这真的有必要吗?有什么好处?我是否仍然需要对 token 的使用情况进行主动监控,我是否会按照我上面对行为不良的用户的描述进行操作?

资源:http://aws.amazon.com/articles/4611615499399490

最佳答案

我从事 AWS 移动开发工具包的工作。 Anonymous 和 Identity TVM 旨在作为将 AWS token 传达给移动设备的示例引用应用程序。您应该修改 TVM 以满足您的特定需求。至少,您应该更新应用于 token 的策略,以限制移动应用程序仅访问它需要的那些 AWS 资源。正如您所提到的,限制谁可以访问身份 TVM 中的 TVM 也是正确操作 TVM 的一个关键方面。

我们添加了额外的加密层以提供更好的整体安全性。 SSL 的使用是此处使用的层之一 - 它用于保护 token 本身到设备的交付,以及用于加密 token 的 key 。

请注意,一旦发出 token ,就无法撤销它。 token 具有 1 到 36 小时的可配置时间限制,因此设置适当的策略和持续时间是 TVM 及其服务的应用程序的重要安全考虑因素。

如果有帮助,以下文章提供了一个自定义身份 TVM 的示例,其中包含应用于 token 的特定策略对象:

http://aws.amazon.com/code/4598681430241367

希望这可以帮助,

格伦

关于amazon-web-services - 亚马逊网络服务 : Token Vending Machines (anonymous/identity) Encryption,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14287000/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com