Ich möchte eine Webanwendung entwerfen, die eine sichere Authentifizierung garantiert und API-Zugriff nur für autorisierte Benutzer gewährt. Die Grundidee besteht darin, einfach den Benutzernamen und das Passwort zu senden, um den Benutzer authentifizieren zu lassen. Und der Benutzer kann eine Anfrage an den Server mit der Sitzungs-ID stellen, ohne sich selbst erneut zu authentifizieren.Sichere Webauthentifizierung und API-Zugriff
Definitiv ist es sehr unsicher. Aber soweit ich das jetzt verstehen kann, können wir TLS (https) anwenden, um die Anmeldeinformationen des Benutzers nicht verfügbar zu machen, um es verschlüsselt zu bekommen.
Wie ich jedoch forsche, lerne ich viele Konzepte kennen, wie Base64, HMAC_SHA1, API-Schlüssel, OAuth1.0. Aber ich konnte nicht verstehen, warum wir diese Mechanismen außer TLS brauchen. Kann jemand erklären, warum TSL nicht ausreicht, um Authentifizierung und API-Zugriff zu gewährleisten, um sicher zu sein?