当我创建用户时,我将创建一个私钥和公钥。公钥是用户的令牌ID。私钥将用于加密和解密数据。
当用户登录时,我的Android应用程序将调用REST Web服务,验证后将返回私钥和公钥。然后使用私钥,应用程序可以创建签名。
这是正确的方法吗?我只是使用HTTP而不是https。
答案 0 :(得分:3)
这是正确的方法吗?
没有
我只是使用HTTP而不是https。
为什么呢?我不明白为什么你不像其他人一样使用HTTPS。这是一个解决的问题。
纠正错误陈述:
你需要学习更多关于PKI的知识,而不是你现在所知道的。
答案 1 :(得分:2)
简短回答:否
首先,您通过不受保护的HTTP传输私钥。
其次,完全不清楚你想用公钥/私钥实现什么。根据您的描述,我读到您要将其用于身份验证和签名。但为什么私钥存储在服务器上?
通常是另一种方式:客户端有公钥和私钥。它将公钥发送给任何想要的人,但私钥从不离开设备!