Ответ ниже отэтот вопрос;

Награжденный ответ неНа самом деле это вообще касается вопроса. Он упоминает только SSL в контексте передачи данных и нена самом деле покрыть аутентификацию.

Вы'действительно спрашивает о безопасной аутентификации клиентов REST API. Если только ты не'При использовании аутентификации клиента TLS, SSL сам по себе НЕ является жизнеспособным механизмом аутентификации для REST API. SSL без аутентификации клиента только аутентифицирует сервер, что не имеет значения для большинства API REST.

Если вы неиспользовать аутентификацию клиента TLSВам нужно будет использовать что-то вроде схемы аутентификации на основе дайджеста (например, Amazon Web Service 's пользовательская схема) или OAuth или даже обычная аутентификация HTTP (но только через SSL).

Так что, учитывая, я буду использоватьHTTPS без сертификации клиента мой вопрос здесь плакат говорит, что если мы не будем использоватьклиентская SSL-сертификация Сервер на самом деле не знает, с кем разговаривает. Здесь я понимаю, что если я использую токен аутентификации для доступа, чтобы аутентифицировать клиента на сервере. Тогда сервер не знает, кому отправляет токенчетное если этот токен связан с идентификатором пользователя в базе данных моих серверов.

Прежде всего

1-это реальная проблема? Если я особенно использую Https? (Без аутентификации клиента TLS)

2- и самое важное, если предположить, что это важный недостаток безопасности; Как здесь может помочь базовая аутентификация Http, как упоминалось в постере? Http базовая аутентификация просто отправляет закодированный пароль пользователя в заголовке. Поэтому, когда клиент получает токен (взамен после того как он отправит свой логин пароль) тогда для остальных своих запросов он будет использовать этот токен в этом заголовке вместо пароля, и вдруг все нормально?

Сервер по-прежнему не знает, откуда поступает запрос, возможно, у сервера есть действительный токен с соответствующим пользователем в его базе данных, но неизвестно, кто на самом делеОтправить Это. (хотя я до сих пор очень сильно вижу, что токен будет украден через https и использован кем-то другим!)

Всякий раз, когда я поднимаю эту тему, я получаю ответы .. "Хорошо .. вы отправляете токен, но сервер не знает, кому отправлять токен, не очень безопасно так что я понимаю это, так как браузер поддерживает своего рода аутентификацию, а сервер знает, откуда поступает запрос из правильного места, ТОГДА я могу быть уверен, что сопряженный пользователь с этим токеном (проверено в моей БД) "действительно правильно

Или, может быть, то, что я здесь говорю, не правильно