我有一个可以访问我的服务的移动应用程序。我不要求用户创建密码,而是向他发送一个 4 个字符的代码,他使用该代码对数据进行签名。对数据进行签名意味着对消息(sha258)应用哈希,使用代码作为 hashKey。当消息到达服务器时,我在消息上应用相同的哈希来查看用户是否是假装的。
如果我使用 SSL,我应该只发送带有消息的代码吗?或者这种做法可以吗?
我有一个可以访问我的服务的移动应用程序。我不要求用户创建密码,而是向他发送一个 4 个字符的代码,他使用该代码对数据进行签名。对数据进行签名意味着对消息(sha258)应用哈希,使用代码作为 hashKey。当消息到达服务器时,我在消息上应用相同的哈希来查看用户是否是假装的。
如果我使用 SSL,我应该只发送带有消息的代码吗?或者这种做法可以吗?