Quel protocole utiliser pour l'authentification dans un service Web?

Question

Quel protocole dois-je utiliser pour sécuriser un service Web? Je pense au CHAP, mais je ne peux pas en trouver beaucoup à propos des services web. SubAuth et OAuth sont plus à propos de l'accès des services web à quelque chose d'autre, donc ce n'est pas ce que je cherche. Je dois authentifier un utilisateur sans lui envoyer ses informations d'identification sur la ligne. J'ai lu les réponses à certaines des questions liées à la sécurité et j'ai découvert quelque chose à propos de l'authentification de réponse au défi et du protocole à trois passes, mais rien n'était directement lié aux services Web.

Quelqu'un at-il de l'expérience avec cela?

Aide hautement appréciée.

Answer 1

OAuth peut aussi bien faire face au scénario d'accès direct, également connu sous le nom de scénario à deux branches. C'est le protocole que nous avons choisi.

Answer 2

Service Web? Puis, peut-être, HTTPS (avec des certificats client SSL ou auth HTTP) ou l'authentification HTTP Digest? Cela dépend du modèle de sécurité - à qui voulez-vous fournir le service (réseau d'entreprise public, certains sites locaux, etc.), que voulez-vous sécuriser et à quel point voulez-vous sacrifier les performances et l'ergonomie à la sécurité? (avec une charge importante, SSL va sûrement manger beaucoup de temps CPU) et ainsi de suite.

Answer 3

Si vous ne trouvez rien concernant les services Web CHAP, il y a de fortes chances qu'il n'y ait pas de relation.

Typiquement, on utilise SSL (HTTPS), ou bien WS-Security. Toutefois, si la sécurité est réellement importe, on apprend généralement sur la sécurité dans les services Web en premier.