差分身份验证/授权机制

Question

我有一个用HTML和JavaScript构建的web应用程序。在我的应用程序中，我必须与多个其他网站集成。为此，我必须安装通用的安全身份验证/授权机制。我对其他应用程序和认证/授权机制的控制有限。

• 我最初考虑将密码保存在cookie中，然后在URL中为所有应用程序发送用户名和密码。这种方法一点也不安全。
• 我考虑过使用Digest访问身份验证或公钥身份验证的其他选项。
• 然后，我遇到了基于索赔的认证机制。

我应该为我的web应用程序选择哪种机制？

此外，为了维护安全的认证会话，我需要做些什么？

Answer 1

身份验证是让其他人使用您的服务或不使用您的服务，但是授权是关于某些人在使用您的服务时可能拥有的特权，比如管理角色或常规用户。