私は現在の顧客ベースを持っています。私は、RESTfulなサービス(アプリを通じて)を介して、自分自身に関する特定の詳細にアクセスできるようにしたいと考えています。RESTfulサービスのユーザー認証
私は顧客にできるだけ煩わしさを感じさせないようにしたいので、各顧客のUUIDを生成し、UUIDをIDとして提供してRESTにアクセスさせることを考えています。
たとえば、http://www.example.org/rest/value/UUIDまたはhttp://www.example.org/rest/valueで、TLSでのHTTP基本認証としてのUUIDを使用します。
私の心配はセキュリティです。私はこれらの概念のいくつかを初めて覚えています。特定の顧客であることの「証明」として、オンデマンドで生成されたUUIDを使用することの主な懸念は何ですか?
上記のシナリオを誰かに開いて、UUIDを盗聴してもらいたいのであれば、理論的には輸送中にUUIDを隠すことができたら、
私はUUIDは人間が読めるものではありませんが、入力はURL/QR /類似のものであると考えています。
ありがとうございます。あなたは、 "HTTPヘッダーの識別子を送信することはもう少し安全です...まだ識別子が漏れた場合、攻撃者は簡単にユーザーを偽装することができます" - これはあなたの正規のユーザー/パスとは本当に違いますか?失われた? – TragedyStruck
いいえ、実際はありません。パスワードはユーザーが変更することができますが。しかし、ユーザー名/パスワードを使用することは、APIを保護するために推奨されていません。これは、クライアントがパスワードを平文で保存して各要求と共に送信することを強制するからです。 – MvdD