我有一个Windows客户端(桌面)应用程序,在第一次运行时会命中服务器并请求客户端ID。不久之后,客户端将通过其他请求回拨到服务器。服务器可以整天分发客户端ID,但服务器能够知道任何将来的请求来自有效客户端是很重要的。
这意味着验证它是发出请求的客户端应用程序,而不是假装是客户端应用程序的某人/其他人。理想情况下,它还需要验证客户端应用程序的客户端ID是否未更改。
我考虑过将盐渍客户端ID的哈希包含在未来的请求中,但似乎对于一个坚定的人来说,拆分客户端足以弄清楚盐值是非常困难的。
提前感谢任何解决方案,提示或指示!
答案 0 :(得分:0)
如果没有重剂量的密码术,就无法做到明智。只要另一端有完全控制权,他们就无法伪造答案。 Kerberos所做的事情模糊不清,协议非常复杂。罗斯安德森的"Security Engineering"将是我第一次看看如何做到这一点。