我开发了一个简单的应用程序,该应用程序至少不使用任何第三方授权。我想创建一个可供iOS / Android /任何客户端使用的RESTful API,因此,我阅读了许多有关RESTful API实现的信息。但是,实现它们的通常方法包括发送某种用于签名请求的安全“令牌”。这使该API容易受到中间人攻击,建议使用HTTPS来解决该问题。
但是,阅读所有这些使我感到奇怪,为什么不为此使用私钥/公钥签名(如RSA)。这样,客户端将根据密码生成私钥和公钥,发送注册时的公钥并将私钥保留在客户端上,即使有人掌握了服务器和客户端之间的所有通信,他仍然不会不能冒充客户。
但是我对密码学和安全性几乎一无所知,所以一定有原因导致我没想到没有使用这种方法,对吗?
京公网安备 11010802040832号 | 京ICP备19059560号-6 