HTTPS 协议是否与 REST API Web 服务相关？

Question

我有一个 iPhone 应用程序使用的 PHP 中的 HTTP REST API。

此 API 中的一些网络服务通过 HTTP 请求凭据中的用户身份验证进行保护，但我想通过提供完全加密的请求数据来避免“中间人”攻击。

我对安全问题不是很熟练，而且我在任何地方都找不到任何明确的答案：

HTTPS 是否与 STATELESS REST API 相关？

据我了解，HTTPS 做了两件事：

• 加密您的会话
• 向客户端证明他正在与之通信的服务器是安全的

所以乍一看，它没有响应我的需要，即加密我的服务器和应用程序之间的数据，因为 API 不使用会话。但我仍然有疑问。

有人可以告诉我吗？

我的另一个解决方案是使用公钥/私钥系统加密请求数据。会不会更合适？

谢谢！

Answer 1

HTTPS 非常相关，是的，这是因为您提到的两点。你知道OAuth 2实际上强制执行HTTPS吗？

您也可以选择自己进行所有加密，但您会丢失 API 易于使用的部分。

大多数针对“简单”HTTP 请求的中间人攻击涉及窃取凭据和伪造请求，但它们也可以读取发送和接收的数据。如果您的问题是数据不可读，请使用 HTTPS。如果虚假请求是唯一的问题，那么像 OAuth 1（不是 2）这样的身份验证协议就足够了。

Answer 2

是的，是的。 HTTPS 与应用程序无关，它是一种隧道协议。尽管 TLS 本身是一个有状态的协议，但通过它的 HTTP 部分却不是。

就像您使用 VPN 一样，您仍然可以拥有基于 REST 的应用程序。 TLS 只是为每个连接自动设置和拆除隧道。

也就是说，利用 HTTP 和 HTTPS 的流水线方面来提高 TLS 连接的吞吐量是有价值的，但这是与应用程序本身无关的性能调整方面。

Answer 3

如果您不想实现 SSL，您可能需要查看 http://www.jcryption.org/ 我不知道它是否可以在无状态环境中工作，但可能值得一试。它基本上是一个 jquery 插件，用于处理为正在传输的数据创建密钥对关联。可能仅用于表单提交。我们曾经在我的旧公司使用它来加密登录凭据。

Answer 4

如果数据是敏感的，请务必使用 HTTPS - 它会在您正在寻找的传输层进行加密。正如已经指出的那样，oAuth 2.0 本质上是强制要求的。您可以通过在 oAuth 1.0 中使用散列/签名来潜在地避免中间人，并避免必须使用 SSL，但那时正文仍然是明文的（您避免了明文发送 API 凭据，而不是正文）。