什么是最新的安全用户身份验证方法?

“Web服务”的身份验证…您指的是soap/http还是web页面?这两种情况的答案是不同的!

• 对于soap/https,您使用的是带有saml/xacml令牌的ws-security套件。可以通过多种方式(如kerberos或voms)派生权限。这显然不是小事,您需要弄清楚服务“生态系统”中的所有其他部分都在做什么,并确保与之进行互操作。
• 对于web页面,请签出openid或shibboleth作为从其他人维护的源派生身份验证令牌的方法。据我所知,openid更适合开放互联网,shibboleth更适合企业部署(它是为处理诸如处理大学网页登录之类的问题而设计的)。

如果你正在做一个网页,作为一个门户网站,以安全的网站服务,这是有可能的桥梁以上两套服务,以便浏览器介导的技术openid用于生成一个加密令牌,然后用来与后端通话。但这真的很不平凡!(不是我的专业领域,而是为其工作的人 是 )

[编辑]:当然,如果你只是问一般的登录方法,那就很简单了。用户唯一真正接受的是在网页中输入用户名和密码,即使是这样 非常 罕见的如果你想达到这一目的,请记住只允许通过https登录,你应该只允许他们登录到系统的页面也通过https提供服务,你将不得不在反xss装甲(一个典型的so问题!)

这取决于您需要什么样的安全性,但一般来说,身份验证协议是最后一个被破坏的东西。实现缺陷更容易被利用。

如果您需要web服务的安全性,并且您需要的不仅仅是简单的用户名和密码(使用密码强度策略),请考虑

• SSL(带相互身份验证)
• 科贝罗斯
• 零知识协议(Lightweigth)

但是,不管你选择什么,不要让它变得复杂,确保实现是安全的,因为你的安全性和最薄弱的地方一样好