我編寫了一個Web應用程序,我希望允許其他開發人員從中獲取信息。在應用程序中實現(安全)Api密鑰
我工作的服務器並不是那麼簡單,也不能處理那麼多請求,所以我們的想法是爲每個想要查詢我們信息的人生成並分配api密鑰。通過使用Api密鑰,我可以限制每日請求並可能收集一些統計信息,以查看哪些信息對其他開發人員非常有用。
事情是,我關心它的安全方面。由於Api密鑰將被髮送到我們的服務器(通過GET/POST等),有人可以通過wireshark嗅探請求並獲得開發人員API密鑰,沒有太多的努力,對吧?
我想過要生成一個密鑰和一個API密鑰。然後,我可以指示其他開發人員將它們連接起來,並將它發送到我們的API。然後,我會驗證散列是有效的,並允許請求...但是,然後同樣的問題會持續存在。黑客仍然可以嗅探該散列並代表其他開發人員的應用程序發出請求。
所以我的問題是
- 我怎樣才能避免這個問題?
- 還是更好呢,我的擔心甚至有效嗎?這是一個真正的問題嗎?
- 是否有更好更安全的方式允許訪問我的信息,而不會使其他開發人員過於複雜?
你們認爲什麼?
我已經倒下了這個意外(我甚至不記得有讀過這個)。我該如何解決這個問題。 – Gellweiler