SSL和验证用户

时间:2012-09-26 21:03:19

标签: java security rest ssl

我有一个REST API,客户端通过SSL连接(自签名证书2048bit)

我正在考虑实施以下安全措施

  1. 客户端从服务器请求RSA公钥
  2. 加密用户名/密码
  3. 将这些添加到每个REST调用的标头中,允许服务器成为无状态
  4. 该应用程序涉及用户添加信用卡(数字本身已加密)和购买产品,因此安全性至关重要

    从iphone客户端的角度来看,我们也有非常有限的时间,所以我希望上述内容是否合适?

1 个答案:

答案 0 :(得分:1)

通常,在安全方面,人们并不想重新发明轮子。使用最先进的技术更好,这样您就可以从其他人那里获益[' (可能比你更熟练)工作。

如果您在SSL上有RESTful API,我认为您没有编写自己的自定义TCP协议。可能你会使用HTTP,所以既然它在SSL上,你就是在HTTPS上。

使用HTTPS时,您的浏览器会确保请求已签名并加密,以便只有另一端(服务)可以对客户端进行身份验证并解密邮件。因此,无需加密数据和使用自定义标头。一个简单的基于cookie的会话就足够了,所以你不会发送用户'每个请求中的密码。