我已經使用編碼了移動api Node.js,Redis&MongoDB。但是現在我正在尋找具體的方法來提供我們系統的安全性。奧古斯特科克霍夫臭名昭着的原則激發了我的問題;移動API安全範例
「它不能被要求是祕密,它必須能夠落入敵人的手中,而不不便」
檢查這個原則我弄清楚,有沒有安全的辦法後在嗅探器捕獲整個數據包後保護數據安全。當然也有替代方式像使用API密鑰,使用加密算法像MD5&MD6,三重DES,SHA1等。但是這如果整個數據包被捕獲也不會工作。並且有像HTTPS,SSL證書這樣的安全預防標準。但是,如果有人才能夠捕獲數據包,則它可以像我們系統中的已驗證用戶一樣行事。
如何應用安全方法,即使捕獲整個數據包,系統也能夠區分來自外部源的請求,而不是來自我們驗證的用戶的請求。
PS:我認爲應用具有時間戳的自定義加密算法以防止此問題可能有點混亂。
HTTPS有什麼問題?通過適當驗證的HTTPS,沒有中間人。 – 2013-02-11 14:44:15