我正在为物联网设备开发一个安卓应用程序。android 应用程序从 IoT 设备获取数据并发送到存储在 MongoDB 中的 NodeJS。我正在使用 AES-256 加密使用 POST 请求将加密数据发送到 NodeJS 服务器。现在,问题是任何人都可以创建这个 POST 请求并将一些数据存储到 mongodb 中。为了保护我们可以使用 JWT,但问题是这个应用程序没有任何用户名和密码功能。因此,我正在考虑发送某种令牌,该令牌将在服务器端验证,一旦验证,它将存储数据。但我不明白如何生成这个令牌并将其从 MITM 攻击中保存下来。
我不能使用会话,因为它违反了物联网哲学。任何其他想法都会很棒。另外,我正在考虑使用 EJBCA 来实现 PKI,但是我对此知之甚少。一个小灯也会很棒。
我的设置在 localhost 中运行。