Authentication
TLS 是否必須同時提供機密性和真實性?
我正在開發一個使用 OAuth 的項目。在 OAuth RFC 中,它多次表示身份驗證伺服器和客戶端之間的通信應該使用 TLS。但是,在我正在查看的使用 OAuth 的項目中,他們說他們使用的通道僅經過身份驗證,而不是機密。在這裡查看 TLS 標籤時,它表示 TLS 既是機密又是經過身份驗證的。但是在查看 wiki 時,它看起來可能是或者?有人可以澄清 TLS 是否可以在不提供機密性的情況下提供真實性嗎?
TLS只能提供真實性而不提供機密性。
為此,您需要使用
*_WITH_NULL_*
密碼套件。大多數庫預設禁用它們。但是,我強烈建議不要使用它們。
使用加密時你真的沒有什麼可失去的,如果你不這樣做,可能會有隱私問題。