我有一个REST API,客户端通过SSL连接(自签名证书2048bit)
我正在考虑实施以下安全措施
该应用程序涉及用户添加信用卡(数字本身已加密)和购买产品,因此安全性至关重要
从iphone客户端的角度来看,我们也有非常有限的时间,所以我希望上述内容是否合适?
答案 0 :(得分:1)
通常,在安全方面,人们并不想重新发明轮子。使用最先进的技术更好,这样您就可以从其他人那里获益[' (可能比你更熟练)工作。
如果您在SSL上有RESTful API,我认为您没有编写自己的自定义TCP协议。可能你会使用HTTP,所以既然它在SSL上,你就是在HTTPS上。
使用HTTPS时,您的浏览器会确保请求已签名并加密,以便只有另一端(服务)可以对客户端进行身份验证并解密邮件。因此,无需加密数据和使用自定义标头。一个简单的基于cookie的会话就足够了,所以你不会发送用户'每个请求中的密码。