REST APIでSecure Remote Passwordプロトコルが使用されていないのはなぜですか?
Webアプリケーションで使用されるSRPプロトコルのサンプルをいくつか見たことがありますが、RESTful認証にこれを使用する人がいないのはなぜでしょうか。私はいくつかの調査を行いましたが、1つも、1つも見つけることができませんでした。 SRPとbcrypt、scrypt、pbkdf2などのパスワードハッシュ関数を組み合わせることは、私にはかなりしっかりしているように見えますが、奇妙なことに、誰もそれを試したことがないようです。概念的に矛盾する何かがここにありませんか? SRPプロトコルは何とかRESTfulnessを削除しますか?
テクノロジーの採用の多くは経済学に依存しており、SRPも例外ではありません。ソフトウェアショップは通常、特定のテクノロジーに投資したりお金をかけたりすることはありません。このテクノロジーは、まったく新しい利点を提供しません。たとえば、SRPが組織に提供する利点は、システムにパスワードを保存する必要がないことです。 OpenIDはすでに同様の役割を果たしています。 SRPを選択すると、組織は実装を開発するコストを負担し、それを正しく実装しないリスクを受け入れる必要があり、より安価な方法(OpenIDなど)に追加の利益をもたらすことはありません。
私の知る限り、SRPはRESTfulなプラクティスに違反していません。