使桌面客户端能够与 webapp 通信的安全方式

Question

接下来我想构建一个桌面客户端、iPhone 应用程序等，以与我现在正在开发的网络应用程序进行交互。我目前正在努力将身份验证层添加到应用程序中，并且我正在努力记住这些未来的计划。设置它的最佳方法是什么。我一直在阅读有关保护 API 的内容，并且我读过的很多内容都建议使用公钥和私钥。这是正确的使用方法吗？在我看来，这不是正确的方法，因为用户要做的第一件事就是登录，此时我必须将私钥发送到看起来不太私密的应用程序。

Answer 1

公钥和私钥是正确的方法。您的应用或服务器从不发送他们的私钥。仅公开公钥。流程如下：

1. 您的应用使用server's public 用于加密数据并发送数据的密钥
2. 数据的唯一途径 解密是使用server's private 密钥，因此只有服务器可以读取它。
3. 服务器使用app's public密钥加密数据并发送
4. 解密数据的唯一方法是使用app's private 密钥，因此只有应用程序可以读取它。

我建议您详细了解公私密钥通信的工作原理。我会尽量提供一个好的入门链接。

编辑：Wikipedia's article这件事其实还挺好的。