我正在开发一款适用于物联网设备的Android应用。 Android应用程序从IoT设备获取数据并发送到存储在MongoDB中的NodeJS。我使用AES-256加密使用POST请求将加密数据发送到NodeJS服务器。现在,问题是任何人都可以创建此POST请求并将一些数据存储到mongodb中。为了保护我们可以使用JWT,但问题是这个应用程序将没有任何用户名和密码功能。所以,我正在考虑发送一些将在服务器端验证的令牌,一旦验证它将存储数据。但我无法理解如何生成此令牌并将其从MITM攻击中保存。
我不能使用会话,因为它违反了物联网的哲学。任何其他想法都会很棒。另外,我正在考虑使用EJBCA来实现PKI,但是我对此知之甚少。对此的一点点关注也很好。
我的设置在localhost中运行。