2

我正在将用于移动应用程序的 rest API 添加到我现有的 grails web 应用程序中。由于我很难将 OAuth2 提供程序集成到我的应用程序中,因此我将实现自己的 HMAC 机制。

HMAC 使用密钥,我想要的是,应用程序的每个用户都有自己的密钥。现在的问题是我最初如何在 API 和移动设备之间以安全的方式传输秘密。

当然,所有通信都将通过 SSL。但是,当第一次通过网络连接时,将客户端密码从服务器发送到移动客户端是否安全?

或者我应该使用一个秘密并将其存储在移动客户端中,这样可以很容易地进行逆向工程?

或者也许有其他更好的方法来做到这一点?

4

1 回答 1

0

您可能想研究共享密钥身份验证方案并实施自定义机制。

以下是 Amazon 如何将其用于 REST 请求的示例:

http://docs.aws.amazon.com/AWSECommerceService/latest/DG/Query_QueryAuth.html

和示例java代码

http://docs.aws.amazon.com/AWSECommerceService/latest/DG/AuthJavaSampleSig2.html

于 2013-06-19T23:37:46.407 回答