标签: http post cryptography hmac sha
我开始使用的在线webhook API使用HMAC来验证HTTP POST请求的真实性。
根据我的理解,如果您拥有密钥(最初提供给服务),您只能验证请求正文的内容。
但是,密钥包含在请求本身的JSON数据中。
这仍然可靠吗?中间人无法读取密钥,然后更改POST内容,使用密钥重新计算HASH并在转发数据之前更改标头?或者我完全走错了轨道?
答案 0 :(得分:0)
它不安全 - 我让API的所有者知道并且他们同意并且正在尽快解决问题。