我有一个iPhone应用程序使用PHP的HTTP REST API。HTTPS协议与REST API Webservices相关吗?
从这个API的一些Web服务被固定在HTTP请求凭据的用户身份验证,但我希望通过提供完全加密的请求数据,以避免“中间人”的攻击。
我不是很熟练的安全问题,我找不到任何明确的回答我的问题的任何地方:
是HTTPS相关的无状态REST API?
从我的理解,HTTPS做两件事情:
所以乍一看没有响应我的需要,即加密我的服务器和应用程序之间的数据,因为API不使用会话。但我仍然有疑问。
有人能告诉我吗?
我的其他解决方案将通过公钥/私钥系统来加密请求数据。它会更合适吗?
谢谢!
是的。 HTTPS与应用程序无关,它是一种隧道协议。尽管TLS本身就是一种有状态协议,但HTTP部分却不是。
就像如果你使用的是VPN,你仍然可以拥有一个基于REST的应用程序。 TLS只需设置并自动为每个连接撕下隧道。
这就是说,有在利用HTTP流水线的各方面的价值和HTTPS以提高吞吐量超过TLS连接,但是这是一个性能优化方面无关的应用程序本身。
Thanks Will Hartung,你解释了我到底不清楚什么。我感觉HTTPS有状态部分可以在每个请求上重置,但我完全不确定。 – Bedu33 2012-04-24 20:53:37
如果你不想实现SSL,你可能想看看http://www.jcryption.org/我不知道它是否可以在无状态环境下工作,但可能值得一试。它基本上是一个jquery插件,负责为正在传输的数据创建密钥对关联。可能只能用于表单提交。我们曾经使用它来加密我公司的登录凭证。
JavaScript加密通常是一个坏主意:http://www.matasano.com/articles/javascript-cryptography/ – Bruno 2012-04-24 23:48:48
肯定要用到,HTTPS如果数据是敏感的 - 它在加密是你在找什么传输层。正如已经指出的,oAuth 2.0基本上要求它。您可以通过在oAuth 1.0中使用散列/签名来避免中间人,并避免使用SSL,但是身体仍然清晰无误(您已经避免在明文中发送API凭证,而不是在主体中发送API凭证)。
HTTPS不两两件事: - 加密连接 - 证明给客户,他在谈论到服务器是谁的服务器说,他是< - 固定为您 – PeeHaa 2012-04-24 17:38:27
“我其他的解决方案将通过加密数据的请求公钥/私钥系统“。听起来像一个很好的计划。为什么不实施SSL(HTTPS);-) – PeeHaa 2012-04-24 17:39:45