由于可以嗅探请求的参数,API 密钥对 http 毫无价值吗?它们仅通过 https 可靠吗?即便如此,你不是指望客户小心他们的钥匙吗?
问问题
832 次
2 回答
2
由于可以嗅探请求的参数,API 密钥对 http 毫无价值吗?
不,因为只有在系统管理员对 IT 安全性一无所知的情况下,才能执行嗅探,或者如果您可以捕获传输的流量(这通常非常困难)。此外,还存在诸如 IPSec 之类的技术,可在网络层提供真实性和隐私性。
因此,使用明文身份验证不会提供零附加安全性。
它们仅通过 https 可靠吗?
这取决于您对“可靠”的定义。往上看。无论如何,使用传输安全可以防止攻击者读取您的通信。如果强制执行 SSL,也可以防止中间人攻击。
即便如此,你不是指望客户小心他们的钥匙吗?
当然,您必须始终信任您的授权用户。这与 API 密钥或密码或任何东西无关。
于 2012-08-30T00:31:08.427 回答
1
取决于 API 密钥的使用方式。
如果您将 API 密钥分配给开发人员,并且开发人员将 API 密钥作为移动应用程序的一部分分发,或者使用 API 密钥从网页进行 AJAX 调用,那么 API 密钥就毫无意义。任何人都可以嗅到钥匙,而且它不需要任何老练的人在中间攻击。
但是,如果开发人员使用服务器端代码中的 API 密钥,并且您的 API 通过 https 运行,那么这是一种相当安全的技术。
简而言之,安全性在于信任开发人员将 API 密钥保密。就像您希望用户对他们的密码保密一样。
于 2012-08-30T05:38:14.480 回答