我正在使用Node.js为移动应用程序开发后端来处理HTTPS请求。我已经设置了一个SSL来连接从客户端到服务器,并且想知道这是否足够安全。
我没有从移动设备拦截端点的经验,但我已经看到人们可以通过手机监控互联网流量并获取服务器请求的端点。我已经看到了火药上的黑客,人们可以看到响应JSON,甚至通过向tinder的端点发送http请求来自动滑动。
我真正关心的是人们将能够在我的后端更新/读取/修改数据。我也可以将OAuth2实现到我的架构中,但我仍然看到人们可能滥用系统的情况。
我的主要问题是,使用HTTPS是否足够安全以保护我的数据,或者是否需要像OAuth2那样的会话身份验证系统。
感谢。
答案 0 :(得分:0)
你正在两个空地之间建造一条装甲隧道。
假设您使用当前的SSL协议和设置以及来自可信发行者的有效证书,您几乎可以假设网络正常。
但是,完全有可能从客户端破坏您的任何或所有交易。安全性实际上取决于设备以及它的配置和修补程度。
答案 1 :(得分:0)
HTTPS,如果配置正确,将确保邮件在途中不被读取或更改,并且客户端可以知道它正在与之通信的服务器不是假的。
它将确保运输安全。它无法保护应用程序。
例如,假设您有一个应用程序,允许您发送一条消息https://www.example.com/transfermoney?from=Kyle&to=BazzaDP&amount=9999.99,并且服务器会根据这些参数执行此操作。然后我可以自己发送该消息 - 我不需要拦截任何应用消息。
通常,服务器需要身份验证以及HTTPS,例如,只验证Kyle用户可以发送上述消息而不是其他任何人。 HTTPS通常仅提供服务器身份验证而不是客户端身份验证(除非使用双向证书HTTPS)。
所以问题是,即使攻击者无法读取或更改应用和服务器之间的任何消息,他们仍会造成伤害吗?这是衡量它是否足够安全的标准。
答案 2 :(得分:-1)
SSL连接仅对您要发送的内容安全。
SSL加密并确保整个连接的真实性,包括请求的方法和URL
所以我会说只是使用SSL加密保存以在其间传输数据 - 我可能会考虑使用OAuth2来获取密码等。
但我建议使用GET检索数据并发布授权数据