2

さまざまな API を調べてきましたが、Twitter が一般的な議論のポイントのように思われるので、例として使用します。

多くの API が oAuth を実装しています。これは、サービスがサービスに接続するアプリケーションを認証および承認できるようにするのに優れていますが、私が見た限りでは、アプリケーションが Twitter が実際に Twitter であることを確認する方法はないようです (そして、中間者ベースの攻撃ではありません)?Twitterが署名したことを検証するために使用できる、応答本文の何らかの署名(共有/公開鍵を使用)が表示されることを期待しています。

現在、起こりうる最悪の事態は何ですか(そして、なぜ誰かが私に無効なツイートを提供したいのでしょうか)

この点で、応答に署名するとしたら、どのような方法を使用しますか? 現在、共有鍵を使用した応答本文の HMAC-SHA1 署名を検討しています。

4

2 に答える 2

3

これは、SSL の「信頼」部分が行うことです。

- 編集

これは反対票を投じられたことに注意してください.

于 2009-10-06T01:17:25.403 に答える
1

.NET の世界では、各メッセージ/応答への署名 (必要に応じて暗号化) など、さまざまなセキュリティ モデルを持つ WCF を使用しています。これによりオーバーヘッドが大きくなりますが、セキュリティ モデルの「信頼」を高めることができます。必要に応じて、バイナリ シリアル化されたデータの使用に切り替えて、肥大化とメッセージ サイズを削減できます。

その分野で他の Web サービス API が何を提供しているかはわかりませんが、他の誰かが必要に応じてさらに詳細を追加できると確信しています。

于 2009-10-06T02:58:32.223 に答える