authentication - 简单的服务器到服务器身份验证协议

问题描述

我是服务器身份验证的新手。我想要一种简单的方法让服务器以安全的方式从其他服务器（例如和）Main接收 REST 命令（GET、POST 等） 。AB

我阅读了有关 oAuth2 和 oAuth1.0a 的信息，但我认为拥有“资源”服务器和刷新令牌等是矫枉过正的。我能找到的最简单的两种方法是：

• 拥有服务器A并B生成密钥对，预先将公钥提供给服务器Main（或通过/publickey路由访问），每次 HTTP 请求从A->Mainor发出时使用数字签名签署随机数B->Main，并Main检查 DS 是否正确.
• 执行上述操作，但使用对称密钥、ID 和 HMAC（即，Main知道A具有 key XXX，因此当它收到声称来自 的请求时A，它将在收到的 nonce 上运行 HMAC 并将其与收到的 HMAC 进行比较）

请假设以上所有内容都是通过 HTTP 完成的，因此 MITM 是一个真正的问题

我发现以下引用指向类似的东西，但我真的很想要一个“官方”协议，它经过审查并保证在密码学上是健全的：

• https://wiki.c2.com/?HmacUserAuthentication
• https://github.com/acquia/http-hmac-spec
• https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-auth-using-authorization-header.html

标签： authenticationoauth-2.0oauthdigital-signaturehmac