1
我有一個REST API客戶端連接通過SSL(自簽名證書2048位)SSL和驗證用戶
我想實現以下安全
- 客戶端從請求RSA公鑰服務器
- 加密的用戶名/密碼,
- 添加這些到EVERY REST調用允許的報頭中的服務器是無狀態的
的應用涉及用戶將信用卡(本身被加密的數字),併購買產品,這樣安全性是至關重要的
我們也有非常有限的時間內從一個iphone客戶端點,所以我希望如果上面會適當?
Q
SSL和驗證用戶
A
回答
1
通常,當談到安全,人們不希望推倒重來。使用最先進的技術會更好,所以您將從其他人(可能比您更熟練)中受益。
如果您對SSL一個RESTful API,我不認爲你已經寫了自己的自定義的TCP協議。可能你會使用HTTP,因爲它在SSL上,所以你使用的是HTTPS。
使用HTTPS,你的瀏覽器可以確保請求被簽名和加密,因此只有另一端(服務)可以驗證客戶端和解密消息。所以不需要加密數據和使用自定義標題。一個簡單的基於cookie的會話就足夠了,所以你不會在每個請求中發送用戶的密碼。
+0
我們的客戶將iphone,android和我們不想要任何cookie或任何會話。我們正在AWS上進行託管,並希望隨時添加EC2節點。我們很高興爲每個請求添加憑據。只是希望確保我們沒有錯過什麼從安全角度來看... – user1177292
+0
@ user1177292所以你打算添加頁眉像'X-驗證:asdf'您的所有要求。也許你不知道會話cookie只是像每個HTTP請求一起發送的「Cookie:sid = asdf'這樣的頭文件;)Cookie更好,因爲你不會發送用戶密碼**,也不會以純文本格式,也不編碼也不加密,所以沒有人能夠反向用戶密碼 – Raffaele
+0
使用cookie的問題是客戶端開發人員必須處理它。他們正在使用的庫不會自動處理cookies – user1177292
相關問題
- 1. 使用SSL證書驗證用戶
- 2. 驗證用戶和不驗證用戶
- 3. SSL iframe中的用戶身份驗證
- 4. SSL客戶端證書驗證優化
- 5. SSL證書客戶端驗證 - 如何?
- 6. SSL和W3 XHTML驗證器
- 7. 網站PKSC#11智能卡驗證和SSL客戶端證書
- 8. SSL證書和身份驗證
- 9. JWT身份驗證和用戶驗證
- 10. python客戶端身份驗證使用ssl和套接字
- 11. Wininet SSL客戶端驗證奇怪
- 12. 客戶端身份驗證(SSL)直通?
- 13. SSL握手 - 客戶端身份驗證
- 14. SSL客戶端驗證失敗
- 15. Angular JS SSL客戶端身份驗證
- 16. Jetty Truststore身份驗證與SSL客戶端身份驗證
- 17. 如何禁用SSL驗證?
- 18. wcf和安全,身份驗證和ssl
- 19. 如何使用boost :: asio SSL驗證客戶端證書?
- 20. 通過django中的ssl證書進行用戶身份驗證
- 21. 使用Java客戶端進行SSL證書驗證
- 22. Android HttpsUrlConnection驗證SSL
- 23. SSL身份驗證
- 24. 通過SSL驗證
- 25. 雙向SSL驗證
- 26. Android WildCard SSL驗證
- 27. TLS/SSL證書驗證
- 28. 驗證SSL證書對MITM
- 29. Libcurl SSL證書驗證
- 30. Android驗證SSL證書
你說:「我有一個REST API客戶端連接通過SSL(自簽名證書2048位)」。如果您真正關心安全並打算傳輸信用卡號碼,我希望您打算更改該自簽名部分。 –