我们已经实施了TEA算法来加密和解密我们的内容api。 因此,如果客户端访问我们的REST API,他将获得ecncrypted数据。在前端,玩家将在从api获取密钥后对其进行解密。
问题是,玩家将在brwoser / client端打开,如果玩家可以获得密钥,那么攻击者就可以获得密钥。
有哪些设计有助于实现我们的目标,即保证我们的内容网址安全,因为我们正在使用的DRM服务并不存在,我们无法使用https。
答案 0 :(得分:1)
您似乎或多或少都试图通过HTTP重新实现HTTPS或TLS。这是一个坏主意并且不会很好地结束。
只需使用HTTPS。我想不出你为什么不能在2017年在一般网站上使用它的任何理由。这将为您提供通信渠道的安全性(人们无法拦截您正在通信的内容),但也相信您正在与正确的服务器交谈(人们不能像您一样或MitM等等)。< / p>
目前还不清楚这是什么目标?是为了防止人们看到播放器的数据?或者只允许某些用户看到它而不是其他用户?