1

クライアントがSSL経由で接続するREST APIがあります(自己署名証明書2048ビット)

私は次のセキュリティを実装することを考えていました

  1. クライアントがサーバーに RSA 公開鍵を要求する
  2. ユーザー名/パスワードを暗号化します
  3. これらをすべての REST 呼び出しのヘッダーに追加して、サーバーをステートレスにする

このアプリケーションには、ユーザーがクレジット カードを追加し (番号自体は暗号化されています)、製品を購入する必要があるため、セキュリティが重要です。

また、iPhone クライアントの観点からは非常に限られた時間しかないので、上記が適切かどうかを期待していましたか?

4

1 に答える 1

1

通常、セキュリティに関しては、車輪の再発明をしたくありません。最先端のテクノロジーを使用する方がはるかに優れているため、他の人の(おそらく自分よりも熟練した)作業から利益を得ることができます。

SSLでRESTfulAPIを使用している場合、独自のカスタムTCPプロトコルを作成したとは思いません。HTTPを使用する可能性が高いため、SSLを使用しているため、HTTPSを使用しています。

HTTPSを使用する場合、ブラウザはリクエストが署名および暗号化されていることを確認して、もう一方の端(サービス)のみがクライアントを認証してメッセージを復号化できるようにします。したがって、データを暗号化してカスタムヘッダーを使用する必要はありません。単純なCookieベースのセッションで十分なので、すべてのリクエストでユーザーのパスワードを送信する必要はありません。

于 2012-09-26T21:17:12.823 に答える