假设我们有一个在服务器中运行的开源项目。
有没有一种通用的方法可以向用户证明我们使用的代码与发布的代码相同?
问问题
58 次
1 回答
1
从来没有隐含的保证远程服务是其清单中描述的,尽管通常直接考虑的是服务的声誉。
更重要的是,SaaS 本身只是一种交付模式,并不一定要在客户端和服务之间定义一套协议或合同。它只是定义了一种构建和服务公共平台的方法。这个术语更适用于描述服务的构建过程和目标市场,而不是描述具体的操作细节。
如果需要将这样的事情作为客户端和服务器之间合同的一部分来实现,可以考虑使用 HMAC 实现本机散列解决方案。可以使用类似于 OAuth 的加盐访问令牌来实现身份机制,但使用代码库的文件来生成校验和。这将保证如果代码正确执行一次,只要生成的散列没有改变,它就会运行相同的代码(尽管再次不能保证公开暴露的散列是正确生成的)
然而,在大多数服务通常倾向于使用的 SSL 安全性之上,这样的事情听起来是多余的。
总而言之,如果您对通过公共 API 提供的服务感到担忧,那么它的声誉可能优于它可能有一个很好的理由。
于 2012-06-26T19:40:49.727 回答