保護和加密客戶端和服務器之間的連接

Question

我想通過調用具有GET或（還不確定）數據的特定php文件來發送非常敏感的數據到網絡服務器。這些數據包含3個值，所以我想構建一個自己的算法，但是這可以很容易地被逆向工程化，我想有比我更好的解決方案。

難度基本上是這樣的：當用戶爲Windows應用程序購買inapp購買時，他可以訪問此服務器。 MS不提供像Google這樣的OAUTH檢查，因此開發人員必須執行自己的檢查。我們也沒有任何用戶帳戶。

對於如何限制未購買訪問此服務器php文件（這是安全的）的用戶，您有任何想法嗎？

Answer 1

有很多可以使用的「握手」方法。一種方法已經爲我工作：

1. 打開通道到你的服務器
2. 服務器發送的隨機字符的字符串，客戶端
3. 客戶散列與已知鹽的字符串，並將此字符串回服務器
4. 服務器如果他們匹配，則客戶端會話被允許返回的字符串與它自己的加密的原始字符串
5. 的版本進行比較

這可以防止某人在您的服務器上執行replay攻擊。

如果你想堅持一個典型的'網絡交易'，那麼使用HTTPS（端口443）來處理你的加密。另一種選擇是使用加密套接字到不同的端口。