1

我有一个客户端通过 SSL 连接的 REST API(自签名证书 2048 位)

我正在考虑实施以下安全性

  1. 客户端向服务器请求一个 RSA 公钥
  2. 加密用户名/密码
  3. 将这些添加到每个 REST 调用的标题中,允许服务器无状态

该应用程序涉及用户添加信用卡(数字本身是加密的)和购买产品,因此安全性至关重要

从 iphone 客户端的角度来看,我们的时间也非常有限,所以我希望以上内容是否合适?

4

1 回答 1

1

通常,在安全方面,人们不想重新发明轮子。使用最先进的技术要好得多,因此您将从其他人(可能比您更熟练)的工作中受益。

如果您在 SSL 上有一个 RESTful API,我认为您没有编写自己的自定义 TCP 协议。您可能会使用 HTTP,因此由于它在 SSL 上,因此您在 HTTPS 上。

使用 HTTPS 时,您的浏览器会确保对请求进行签名和加密,以便只有另一端(服务)可以验证客户端并解密消息。因此无需加密数据和使用自定义标头。一个简单的基于 cookie 的会话就足够了,因此您不必在每个请求中都发送用户的密码。

于 2012-09-26T21:17:12.823 回答