Аутентификация запросов с одного сервера

Question

Я работаю над проектом, который содержит данные, принадлежащие нескольким клиентам, и я пытаюсь найти безопасный способ уведомлять свои серверы о некоторых чувствительных изменениях их данных.

Проблема в том, что самый безопасный метод, который я нашел для этого, - OAuth, но поскольку мой сервер будет подталкивать к ним обновления, это будет означать, что каждый клиент должен будет реализовать поставщика OAuth исключительно для аутентификации моего сервера, и он чувствует себя немного переполненным.

Мой вопрос: помнить, что не все клиенты будут использовать HTTPS, было бы достаточно просто использовать общий секрет, временную метку и некоторую форму шифрования для их серверов, чтобы безопасно получать и проверять мои обновления или что делает их уязвимыми для нападений?

Answer 1

Да, это было бы безопасно. Для простых сообщений я думаю, что JTW будет очень хорошим выбором. Вы можете использовать его только для проверки подлинности или самого фактического уведомления. Несколько причин, по которым вы, возможно, захотите его использовать:

• Подписано, так что вы знаете, что сообщение не подделано.
• Вы можете зашифровать парами открытого/закрытого ключей.
• Вы можете добавить любые данные, которые вам нравятся.
• Это очень просто реализовать и не требует повторного обмена между серверами, например, OAuth.