我有一个带有多种Web方法的Web服务,每种Web方法都要求客户端机器发送其MAC地址,服务器将根据此信息验证此客户端(如果无效则返回错误),然后再继续进行操作。客户端和服务器之间的通信是HTTPS。我只有大约20个客户。问题是我的做法是否正确/安全?如果没有,那么有没有简单的方法呢?
谢谢,
答案 0 :(得分:1)
不,它不安全,因为任何知道数据库中有效MAC地址的人都可以调用Web服务。当然,不太可能知道数据库中的有效MAC地址,就好像他知道密码一样。
答案 1 :(得分:1)
客户端可以欺骗授权机器的MAC地址。所以,这不安全。
通过客户端证书保护您的Web服务可以提供更好的安全性。
答案 2 :(得分:1)
这取决于您的安全要求,没有“足够安全”的定义。正如其他人所说,MAC可能是欺骗性的,实际上只是一个共享的密码/密码。但是,当HTTPS确保连接的可信度时,这对于许多场景就足够了。您需要定义要保护系统的威胁,以及您愿意投入多少安全性。