AtomAPIを利用したウェブアプリケーションを開発しています。

AtomAPIではWSSE認証を使うそうですが、
WSSE認証をするときはサーバ側にユーザの生のパスワードが必要ですよね?
はてなやSo-net blogなどWSSE認証を使ったAPIを公開しているサービスでは
パスワードを暗号化せずにサーバに保存しているのでしょうか?
それともMD5ハッシュなどをパスワードとして扱うような工夫がされているのでしょうか。
また、WSSE以外にもDigest認証などほかの認証形式があると思いますが、
Digest認証がAPIでの認証に用いられている例などがありましたらご教示ください。

回答の条件
  • 1人2回まで
  • 登録:2007/04/05 13:02:26
  • 終了:2007/04/12 13:05:02

回答(1件)

id:TNIOP No.1

TNIOP回答回数2344ベストアンサー獲得回数582007/04/06 22:30:09

ポイント60pt

http://d.hatena.ne.jp/koseki/20060330

こちらのサイトを参考にしてください。

Digest認証の場合、サーバに保存されるのは、

MD5( usernamre + ’:’ + realm + ’:’ passwd )

なので、このハッシュが盗まれても、サーバの realm が同じでない限り、

このハッシュを使って認証できるということはありません。

そして、RFC 2617 では Digest 認証の realm にはサーバのホスト名を

入れておくべきだと書かれています。なので、サーバ上に保存されているハッシュ値を盗まれても、他で悪用される危険性はkosekiさんが書かれているよりかは低いと思います。』

id:hananomai

回答ありがとうございます。読んでみます。

2007/04/09 09:46:29

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません