REST API over HTTPS over HAPIの使用により、どのような追加の保護が追加されますか?
HTTPSで常に使用されるRESTFUL APIを設計していますが、このようなメッセージ認証コードを使用することで、HTTP Basic Authを使用するよりもどのようなセキュリティ上の利点がシステムにもたらされますか?
[〜#〜] hmac [〜#〜] の例は、AWSの これ のようになります。
HTTPSはHTTP-within - [〜#〜] ssl [〜#〜] であり、SSLはすでに整合性チェックを実施しています-実際、HMACで実施しています(セクション 6.2.3)を参照 )。
基本認証の使用はSSL内で安全であり、十分です。追加のHMACは必要ありません。 AWSが示す方法は、データが保護されずに移動する状況でクライアント認証情報がクリアテキストとして送信されるのを防ぐために、何らかの種類の認証を提供することを目的としています。 SSLは機密性と整合性の両方を提供するので、この点は意味がありません。