2

我一直在寻找各种 API,由于 twitter 似乎是一个常见的讨论点,我将使用它作为示例。

许多 API 都在实现 oAuth,这对于允许服务对连接到它的应用程序进行身份验证和授权非常有用,但是,据我所见,似乎没有一种方法可以让应用程序验证 Twitter 实际上是 Twitter(并且不是中间人攻击)?我希望看到响应正文的某种签名(使用共享/公钥),我可以使用它来验证 twitter 是否对其进行了签名。

是不是因为目前真的没有一个人在推特推文的中间攻击,因为目前,可能发生的最坏情况是什么(以及为什么有人想给我无效的推文)

在这一点上,如果您要签署响应,您会使用什么方法?我目前正在考虑使用共享密钥对响应正文进行 HMAC-SHA1 签名。

4

2 回答 2

3

这就是 SSL 的“信任”部分所做的。

- 编辑

我注意到这已被否决,但重要的是其他读者意识到这是由于个人分歧,而不是由于不正确。

于 2009-10-06T01:17:25.403 回答
1

在 .NET 世界中,我们使用 WCF,它具有许多不同的安全模型,包括对每个消息/响应进行签名(如果需要,还可以加密)。这增加了不小的开销,但可以让您对安全模型更加“信任”。如果需要,您可以切换到使用二进制序列化数据来减少膨胀和消息大小。

我不确定其他 Web 服务 API 在该领域提供什么,但我确信其他人可以根据需要添加更多详细信息。

于 2009-10-06T02:58:32.223 回答