人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

AtomAPIを利用したウェブアプリケーションを開発しています。
AtomAPIではWSSE認証を使うそうですが、
WSSE認証をするときはサーバ側にユーザの生のパスワードが必要ですよね?
はてなやSo-net blogなどWSSE認証を使ったAPIを公開しているサービスでは
パスワードを暗号化せずにサーバに保存しているのでしょうか?
それともMD5ハッシュなどをパスワードとして扱うような工夫がされているのでしょうか。
また、WSSE以外にもDigest認証などほかの認証形式があると思いますが、
Digest認証がAPIでの認証に用いられている例などがありましたらご教示ください。

●質問者: hananomai
●カテゴリ:インターネット ウェブ制作
✍キーワード:API AtomAPI md5 So-net blog うそ
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

1 ● TNIOP
●60ポイント

http://d.hatena.ne.jp/koseki/20060330

こちらのサイトを参考にしてください。

Digest認証の場合、サーバに保存されるのは、

MD5( usernamre + ’:’ + realm + ’:’ passwd )

なので、このハッシュが盗まれても、サーバの realm が同じでない限り、

このハッシュを使って認証できるということはありません。

そして、RFC 2617 では Digest 認証の realm にはサーバのホスト名を

入れておくべきだと書かれています。なので、サーバ上に保存されているハッシュ値を盗まれても、他で悪用される危険性はkosekiさんが書かれているよりかは低いと思います。』

◎質問者からの返答

回答ありがとうございます。読んでみます。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ