基于JavaScript的HMAC有多安全?

时间:2014-05-15 15:16:53

标签: javascript hmac

我目前正在构建一个新的基于SaaS的应用程序,其中包括一个RESTful API。我想保护浏览器和API服务器之间的通信。要做到这一点,我计划使用" Two Legged" OAuth方法。我的问题是,如果我使用JavaScript HMAC库在浏览器中加密,这种方法有多安全?这种方法不会公开密钥吗?

1 个答案:

答案 0 :(得分:1)

基于客户端Javascript"安全"的一般观察:

  • 您在Javascript上对客户端所做的任何事情都对客户完全可见;您无法隐藏用户的任何内容
  • 是的,如果你在Javascript中向客户端发送私钥,他们将不再是私人密钥
  • 客户端发生的任何事情都是不可信任的;您甚至没有证据表明客户端正在运行您的代码,所有您看到的都是它的结果
  • 如果您正在尝试做一些客户端魔术以防止第三方:有能力做任何伤害的第三方通常也可以拦截您的服务器发送到的所有Javascript客户首先......
  • 如果您使用SSL保护所述Javascript从所述第三方传输...您不再需要任何客户端Javascript代码来为该频道添加更多保护

除此之外,我并不完全确定谁应该在这里对谁进行身份验证以及你想对谁保密;但希望这些要点会让你思考。

相关问题
最新问题