我正在研究一些保護來自我們的移動應用程序的流量的選項,該應用程序當前正通過http請求向我們的服務器發送未加密的數據。通過公共互聯網安全地發送數據的另一種方法
最明顯的選擇是使用HTTPS/SSL,但由於額外的網絡流量(SSL握手)和手機上額外的CPU負載,移動開發人員不願意這樣做。
我能找到的唯一有點可行的選擇是使用預共享密鑰來繞過握手的開銷。因此,使用標準的HTTP POST,我們會發送一個明文API Key來識別移動應用程序,可能是作爲HTTP Header,然後使用PSK加密POST數據並將其發送到服務器。服務器從API密鑰中查找PSK,解密POST,可能會做一些驗證以確保它看起來像是好的數據,然後將它傳遞到我們的Web應用程序中的相應控制器。
這是一個合理的選擇嗎?有更好的(或者任何非SSL)選擇嗎?
請注意,該移動應用程序是用於黑莓和iPhone,而服務器端是LAMP [php]。
對此沒有使用SSL只是愚蠢的。 – BNL
因此,而不是使用SSL,你想實現自己的? –