[Moscow.pm] Аутентификация для REST API
Ivan Petrov
i.petro.77.00 на gmail.com
Пт Сен 23 02:42:17 PDT 2016
>> Может подойти простой вариант c HTTP Basic Auth
> Basic auth, если не ошибаюсь, давно не рекомендуют пользовать по
> соображениям безопасности, вроде digest лучше, но как-то не пришлось
> поюзать
кто бы мне сказал чем Basic auth хуже с точки зрения безопасности чем
токен/куки и проч?
если кто-то может перехватить трафик то любой запрос он может
повторить.
выход из этого только один - введение понятия id запроса, TTL и
подписи. Но в большинстве API нафиг не надо.
Подробная информация о списке рассылки Moscow-pm