-2
我正在写一个API,它将被托管而没有SSL支持,我需要一种方法来验证请求。每个客户端都有不同的ID,但如果请求被授权,那么任何拥有数据包嗅探器的人都可以伪造请求。是否有可能在不依赖SSL的情况下建立一个安全的系统?没有SSL的API认证
(我已经包含OAuth的一些想法,莫非是执行?)
非常感谢
A
回答
2
让每个客户端加密签署其与特定客户端密钥请求。验证服务器上的签名。
使用密码学非常简单。主要挑战是设置客户的钥匙。如果不使用SSL,将很难做到这一点。在关于如何设置客户端ID的问题中没有任何信息,所以我不知道它是否足够安全,以便在此时设置密钥。
如果您没有SSL提供客户端代码,这也会成为问题。 但是,嘿,它只是一个你正在创建的API。也许与它交互的代码是通过HTTPS提供的。或者也许代码存储在本地客户端上。
虽然我觉得很多人都会抱怨这个问题。
+0
谢谢!代码不是问题,我完全控制客户端和服务器。如果我要将公钥/私钥硬编码到客户端/服务器中,那么只要来自客户端的传入消息使用其中一个密钥进行解码,它就是一个合法的消息。这将解决关键分配问题吗? – 2014-09-02 21:06:19
+0
是的,如果你可以亲自对密钥进行硬编码,而不是通过电线发送它们,那么它应该没问题。整个事情听起来更可行,因为您也可以完全控制客户。 – guest 2014-09-02 22:13:53
相关问题
- 1. wcf认证kerberos没有ssl
- 2. 没有ssl重新协商的ssl客户端认证
- 3. 没有SSL证书?
- 4. SSL认证有效性
- 5. SSL证书认证
- 6. golang SSL认证
- 7. 的Python/SSL认证
- 8. SSL证书没有通过
- 9. HAProxy和SSL认证
- 10. 验证SSL认证Java/Android
- 11. SSL认证验证失败
- 12. 在网站的SSL认证
- 13. 通过SSL的webservice认证
- 14. Symfony2的 - 没有会话cookie有状态的API密钥认证
- 15. Android和外部证书的SSL认证
- 16. 没有在IE中验证的SSL
- 17. 没有主机名的SSL证书
- 18. 没有域名的SSL证书
- 19. curl SSL认证错误
- 20. 卡西尼SSL认证
- 21. logstach http_poller ssl认证问题
- 22. 有没有一种只在认证过程中使用SSL的方法?
- 23. 没有ssl证书的域重定向到不同的ssl域
- 24. 用于SMTP认证的javaMail API加密SSL加密
- 25. 解析+ mongodb + SSL:“没有由对等提供的SSL证书”
- 26. Mojo :: UserAgent TLS/SSL证书认证
- 27. Stocktwits API认证
- 28. 认证后没有返回?
- 29. 没有Passport.js谷歌+认证
- 30. 显示没有认证
为什么你不能使用SSL? – ircmaxell 2014-09-02 17:45:52
@ircmaxell我的(免费)网络主机不允许它。我不打算使用SSL获得主机。 – 2014-09-02 17:51:07
如果您的* free *虚拟主机不支持SSL,那么您可能不应该对其上运行任何敏感数据。 – Dan 2014-09-02 18:39:23