2
我將移動應用程序的其餘API添加到我現有的Grails Web應用程序中。由於我很難將OAuth2提供程序集成到我的應用程序中,因此我將實現我自己的HMAC機制。REST Api身份驗證 - 交換私鑰
HMAC使用密鑰,我想要的是每個應用程序的用戶都擁有自己的密鑰。現在的問題是如何在API和移動設備之間最初以安全的方式傳輸祕密。
當然所有的溝通都將通過SSL進行。但是,當通過電線第一次連接時,將客戶機密鑰從服務器發送到移動客戶端是否安全?
或者我應該使用一個祕密並將其與移動客戶端存儲在一起,這可能很容易被反向設計?
或者也許有其他更好的方法來做到這一點?