我已经使用编码了移动api Node.js,Redis&MongoDB。但是现在我正在寻找具体的方法来提供我们系统的安全性。奥古斯特科克霍夫臭名昭着的原则激发了我的问题;移动API安全范例
“它不能被要求是秘密,它必须能够落入敌人的手中,而不不便”
检查这个原则我弄清楚,有没有安全的办法后在嗅探器捕获整个数据包后保护数据安全。当然也有替代方式像使用API密钥,使用加密算法像MD5&MD6,三重DES,SHA1等。但是这如果整个数据包被捕获也不会工作。并且有像HTTPS,SSL证书这样的安全预防标准。但是,如果有人才能够捕获数据包,则它可以像我们系统中的已验证用户一样行事。
如何应用安全方法,即使捕获整个数据包,系统也能够区分来自外部源的请求,而不是来自我们验证的用户的请求。
PS:我认为应用具有时间戳的自定义加密算法以防止此问题可能有点混乱。
HTTPS有什么问题?通过适当验证的HTTPS,没有中间人。 – 2013-02-11 14:44:15