我正在设计一个客户端连接到的 Web 服务,以检索一些私人数据。每个客户端都有一个唯一的 ID 和一个密钥(由服务器生成),它们作为参数发送到 Web 服务,以便对其自身进行身份验证。此外,所有通信均通过 HTTPS 完成。
我还计划使用 HMAC-SHA256,以避免通过网络发送密钥。
但是,我想知道这是否是绝对必要的。由于 HTTPS 为我提供了客户端和服务器之间的安全通道,为什么我真的介意通过该通道发送密钥?
我设法想出的唯一原因是,不知情的开发人员将来可能会添加服务并且不会拒绝非 HTTPS 连接,因此散列密钥是对公司软件开发现实的一种保险,多出一条线如果你愿意的话。
我错过了更重要的东西吗?这是一些攻击媒介可以利用的真正漏洞吗?