に基づいて、REST API に HMAC を実装しようとしています。
http://www.smartjava.org/content/protect-rest-service-using-hmac-play-20
私がまだ混乱していることの 1 つは、SECRET をクライアントに渡す方法です。クライアントは、iPhone、Android で、市場からダウンロードされます。
私が考えていたのは、ユーザーがPINのようなSECRETとして入力したものを使用することでした。サーバーはこのPINを経由して取得します
1) クライアントはサーバーから公開鍵を取得します 2) 公開鍵で PIN を暗号化します 3) サーバーは PIN を db に保存します 4) その時点から、PIN は SECRET として使用されます
これに穴はありますか?