【问题标题】:REST Api authentication - exchange private keyREST Api 身份验证 - 交换私钥
【发布时间】:2013-06-14 14:56:34
【问题描述】:

我正在将用于移动应用程序的 REST API 添加到我现有的 grails Web 应用程序中。由于我很难将 OAuth2 提供程序集成到我的应用程序中,因此我将实现自己的 HMAC 机制。

HMAC 使用密钥,我想要的是,应用程序的每个用户都有自己的密钥。现在的问题是如何在 API 和移动设备之间以安全的方式传输秘密。

当然,所有通信都将通过 SSL。但是,当第一次通过网络连接时,将客户端密码从服务器发送到移动客户端是否安全?

或者我应该使用一个秘密并将其存储在移动客户端中,这样可以很容易地进行逆向工程?

或者也许还有其他更好的方法来做到这一点?

【问题讨论】:

    标签: rest authentication grails hmac


    【解决方案1】:

    您可能想查看shared key authentication schemes 并实施自定义机制。

    这是亚马逊如何将其用于 REST 请求的示例:

    http://docs.aws.amazon.com/AWSECommerceService/latest/DG/Query_QueryAuth.html

    和示例 java 代码

    http://docs.aws.amazon.com/AWSECommerceService/latest/DG/AuthJavaSampleSig2.html

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2012-10-27
      • 2013-06-27
      • 2011-07-25
      • 1970-01-01
      • 2015-08-20
      • 1970-01-01
      相关资源
      最近更新 更多