遵循 doco的JIRA REST API,OAuth和HTTP Basic是两种推荐的身份验证.我们正在使用带有https的HTTP Basic,它运行良好且安全. 他们之间的表现有什么不同吗? 除了初始令牌协商之外,考虑到安全有效负
他们之间的表现有什么不同吗?
除了初始令牌协商之外,考虑到安全有效负载的大小和签名要求,OAuth在计算上仍然比基本身份验证更昂贵.需要执行的额外逻辑的非详尽列表:>请求参数规范化
>请求URI规范化
>生成随机数
>请求签名计算
>在接收端反转整个过程
与基本身份验证相比,为了计算单个所需的头,需要非常简单的哈希 – OAuth毫无疑问是一种更昂贵的身份验证.但是,重要的是要认识到这两种认证机制完全不同. Basic Auth用于向主应用程序验证客户端. OAuth用于授权第三方从主应用程序访问客户端数据.两者都有自己的位置,选择一个而不是另一个应该由实现的特定用例驱动.