TLSクライアント証明書の代わりにHTTP基本認証

以下の答えは this 質問からのものです。

受賞した答えは、実際にはまったく問題に対処していません。データ転送のコンテキストでSSLについてのみ言及しており、実際には認証については触れていません。

安全に認証することを本当に求めていますREST APIクライアント。TLSクライアント認証を使用している場合を除き、SSLだけではREST APIクライアント認証なしのSSLはサーバーのみを認証しますが、これはほとんどのREST APIには関係ありません。

TLSクライアント認証を使用しない場合は、ダイジェストベースの認証スキーム（Amazon Webサービスのカスタムスキームなど）またはOAuthまたはHTTP基本認証（ただし、 SSLのみ）。

クライアント認証なしでHTTPSを使用することを検討しているここでの質問は、クライアントSSL証明書を使用しない場合のポスターによるとサーバーは、誰と通信しているのか実際には知りません。ここで理解しているのは、サーバーに対してクライアントを認証するために認証トークンを使用してアクセスする場合です。次に、そのトークンがサーバーデータベースのユーザーIDとペアになっている場合、サーバーは誰がトークンを送信しているのかevenを知りません。

まず第一に

1-これは本当の問題ですか？特にHttpsを使用する場合（TLSクライアント認証なし）

2-そして最も重要なことですが、それが重要なセキュリティ上の欠陥であると想定しています。投稿者が言及しているように、HTTP基本認証はどのように役立ちますか？ HTTP基本認証は、エンコードされたユーザー名のパスワードをヘッダーで送信するだけです。したがって、クライアントがトークンを受信すると（ユーザー名のパスワードを送信した後、代わりに）、残りの要求に対して、代わりにこのヘッダーでこのトークンを使用しますパスワードの、そしてすべてが突然大丈夫ですか？

それでもサーバーはリクエストがどこから来ているのかを知りません、おそらくサーバーはデータベースに一致するユーザーの有効なトークンを持っていますが、本当にsend誰がそれを知らないのですか？ 。 （私はまだこれが非常に難しいと思っていますが、トークンがhttpsで盗まれて他の誰かに使用されることになります！）

この件名を持ってくると必ず返信が届きます。「まあ、あなたはトークンを送信しますが、サーバーは誰がトークンを送信したのかわからないので、安全ではありません」。リクエストが適切な場所から送信された場合、そのトークンとペアになっているユーザー（私のDBから確認）が「本当に正しい」ことを確認できます

あるいは、ここで言っていることが正しくないかもしれません