去年夏天,我正在開發一款應用程序,用於測試潛在客戶的計算機是否適合集成我們的硬件。其中一個建議是在某些情況下使用該工具生成的HTML報告作爲退款的理由。簽名和驗證自動生成的報告
我的直接反應是,「我們必須簽署這些報告來驗證其真實性。」我設想的解決方案涉及爲報告創建簽名,然後將其嵌入到元標記中。不幸的是,這種情況會要求應用程序簽署報告,這意味着它需要一個私鑰。一旦應用程序存儲私鑰,我們又回到了原來的位置,不保證真實性。
我的下一個主意是給家裏打電話並讓服務器在報告上簽名,但用戶需要互聯網連接才能測試硬件兼容性。此外,應用程序需要與服務器進行身份驗證,並且感興趣的一方可以找出它正在使用的憑據。
所以我的問題是這樣的。除了混淆之外,還有什麼方法可以驗證應用程序是否確實生成了給定的報告?
該任務是驗證發件人,而不是接收者。 –
@Eugene,是的,你是對的。我誤解了這個帖子。我會編輯我的答案,留下我以前的答案,以便有人可以從中受益,如果他們正在尋找查詢的反向。 – Raj
這是一個很好的解決方案。出於某種原因,我只是假設整個簽名過程對用戶而言都是透明的。當然,現在我意識到,如果他們打算使用報告進行退款,那麼他們沒有理由不明確驗證它。 – jpm