假设我们在服务器中运行了一个开源项目。
是否有一种通用的方式来证明用户我们使用的代码与发布的代码相同?
答案 0 :(得分:1)
永远不能保证远程服务是其清单中描述的内容,尽管服务的声誉通常是直接考虑的。
更重要的是,SaaS本身只是一种交付模型,并不一定在客户端和服务之间定义一组协议或契约。它仅定义了构建和服务公共平台的方法。这个术语与描述服务的构建过程更相关,而且它的目的是市场,而不是描述细节的操作细节。
如果需要将这样的事情作为客户端和服务器之间的合同的一部分来实现,那么可以考虑使用HMAC实现本机哈希解决方案。可以使用类似于OAuth的salted访问令牌来实现身份机制,但是使用代码库的文件来生成校验和。这将保证如果代码正确执行一次,只要生成的哈希值没有改变就会运行相同的代码(尽管再次无法保证公开公开的哈希值已正确生成)
然而,在大多数服务通常倾向于使用的SSL安全性之上,这样的事情听起来是多余的。
它的长短之处在于,如果您对通过公共API提供的服务感到担忧,那么它的声誉可能会先于它的原因。