【发布时间】:2014-11-01 00:47:09
【问题描述】:
我有一个移动应用程序通过 HTTPS 与服务器通信。成功注册后,我会向应用程序返回一个唯一的 API 机密,以本地保存在设备上。此 API 密钥用于在此用户成功注册后对服务器进行的所有私有方法调用。
在我向服务器发出的每个请求的标头中:
"key": username
"sign": (SHA256 of post_parameters using API secret)
服务器使用在 db 中找到的用户名的唯一 API 机密获取 post_parameters 和 SHA256。如果结果与“sign”匹配,则授予访问权限。
我的问题是这样的:
如何在服务器 db 上确保每个用户的唯一 API 机密安全?如果有人可以访问用户名及其 API 机密,则他可以完全控制用户的帐户。
【问题讨论】:
标签: security hash client-server sha