基本上,我想知道为什么所有额外的加密步骤,如果通信是通过HTTPS?亚马逊网络服务:令牌自动售货机(匿名/身份)加密
即。对于身份:
用户进行身份验证,通过HTTPS为该用户提供身份令牌,他们可以使用该身份令牌来执行您允许的任何操作。如果他们行为不当,我可以撤销权限并禁止未来的令牌访问该帐户。
即。匿名:
那么如果我给匿名令牌出来,我们真的不应该让他们做任何可能有害的事情......只要给他们一个令牌,并希望他们不要滥用它。如果发现滥用权利,只需撤销权利,并通过IP将他们列入黑名单(我的意思是,那是我在这一点上唯一能做的事情吗?)。
除了上面介绍的所有其他复杂性之外,还有什么?即。 “使用通过https使用高级加密标准传递的秘密密钥进行加密”,“使用从密码获得的安全秘密密钥从时间戳生成的HMAC散列组成的加密签名”
这真的有必要吗?有什么好处?我是否仍然需要对令牌的使用情况进行主动监控,并且按照上面对不良行为用户所描述的方式进行操作?
资源:http://aws.amazon.com/articles/4611615499399490
我不知道你无法撤销特定的联合用户。看起来您可以通过更改发布联合令牌的IAM用户的权限来撤销允许访问的所有联合用户的权限。有趣的......就额外的加密而言,如果他们通过SSL破解,他们不能访问他们需要解密其余消息的所有信息吗?我想这一点是__all__ __future__通信将有一个额外的加密层。 –