2
我正在嘗試使用私鑰&公鑰實現API的身份驗證。針對PHP的基於令牌的身份驗證
我想要做的就是提供一個私鑰,用它散列一些數據,並在頭部發送哈希,然後再次在服務器上重新哈希相同的數據進行比較。
我遇到的麻煩是什麼樣的數據,我應該散列,請求的URI,內容類型和內容本身,但什麼時候請求是GET和沒有內容。
使用私鑰散列任何數據足夠安全,還是需要做一些特殊的事情?
A
回答
2
如評論中所述,您不需要公鑰/私鑰對。你想要的是一個身份證明。客戶會給你他們的用戶名/ ID(他們會要求一個身份證明),你需要額外的證據證明他們是真的。爲此目的,他們發送一個祕密的,這隻有他們應該知道的祕密。這是一個簡單的標誌。
您希望避免通過電線來回發送此令牌。請記住這是一個祕密,應儘可能保密。相反,你要求客戶發送的是間接證據;你問他們標牌的要求。
簽名請求意味着它們只是hash the contents of the request with a MAC algorithm,它們的祕密令牌是散列的關鍵。
- 什麼部分的請求散列你決定;包含在散列表中的所有內容都是第三方不可形成的,但是您應該避免要求所有都被散列,因爲可能會在請求的各個階段添加或刪除HTTP標頭。
- 爲避免重播攻擊,請散列請求日期(並要求將日期與請求一起發送)。不要接受超過特定失效日期的請求。或者包括一個不斷變化的令牌,如果可行的話。
- 確保散列很容易重現,例如要求對要散列的數據進行排序。
- 您應該在散列中包含URL;如果你這樣做,是否有身體數據並不重要。從上面的URL +日期/標記已經足夠形成一個MAC。
相關問題
- 1. 基於角度令牌的基於身份驗證的驗證
- 2. 保護基於令牌的身份驗證系統的令牌
- 3. 基於令牌的身份驗證在php
- 4. 在基於令牌的身份驗證中,令牌如何驗證?
- 5. 基於會話的身份驗證或基於令牌的身份驗證哪一個使用?
- 6. 如何禁用基於表單的身份驗證並在jasper中啓用基於令牌的身份驗證
- 7. 使用ADFS的基於令牌的身份驗證
- 8. SockJS/STOMP Web Socket的Spring Security「基於令牌的身份驗證」
- 9. 使用Dapper micro-orm的基於令牌的身份驗證
- 10. 基於令牌的身份驗證的安全性
- 11. 基於令牌的身份驗證的REST API
- 12. 基於令牌的身份驗證的替代方法
- 13. CherryPy身份驗證令牌
- 14. Facebook身份驗證令牌
- 15. 身份驗證令牌
- 16. 與身份驗證令牌
- 17. php身份驗證令牌+ ios
- 18. REST API基於令牌的身份驗證機制
- 19. 基於令牌的身份驗證爲ASPNET核心網絡API
- 20. Web2py基於JWT的身份驗證 - 刷新令牌
- 21. WCF中基於令牌的身份驗證
- 22. 基於WCF休息令牌的身份驗證
- 23. 基於令牌的REST API身份驗證
- 24. 基於REST令牌的身份驗證不起作用
- 25. 基於令牌的身份驗證SecurityContextHolder有時不爲空
- 26. 基於令牌的身份驗證自動化應用程序
- 27. 無法使用NancyFX獲得基於令牌的身份驗證
- 28. 基於令牌的java登錄和身份驗證
- 29. 基於聲明的身份驗證令牌到期
- 30. 基於身份驗證令牌的不同Facebook數據響應
當你* *哈希,你並不需要/想一個公私密鑰對,因爲在再現散列是沒有用的。公私密鑰對與非對稱密碼算法一起使用,這在這裏並不真正使用。所以,沒有P/P鍵;你真的只想要一個*共享密碼*,一個令牌。 – deceze
只發送該令牌進行身份驗證? –
如果你需要一個私鑰/公鑰對,你不想要一個哈希,你想要一個數字簽名。例如,['openssl_sign()'](https://secure.php.net/manual/en/function.openssl-sign.php)。 –