我正在 Laravel 框架上构建一个用于便携式设备的 api。我已经阅读了大量关于如何正确保护数据和传输的文章。
这些是我为确保安全而采取的措施:
- 将数据发送到
https域TLS - 每个设备的唯一 API 密钥
- 不时再生的独特图币。
- takeen 用于加密数据,使用
hmac-sha1
所以我得到了2个问题:
- 我应该在像这样的标头中发送 API 密钥集
X-Authorization吗?或者将其添加到加密数据中的所有 POST/GET/PUT/DELETE 中hmac-sha1? - 上面提到的两种方法有什么大的区别吗?
我主要基于本教程:http ://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/以及与 SO 问题相关的其他问题
PS如果有什么你认为我可以改进的地方,请告诉我!