我打算在我的REST应用程序中实现API安全性,我需要工作授权URL(在服务器PHP应用程序上),它将会话令牌返回给客户端(移动客户端android,iphone,BB,wp7,wp8)请求这个网址。
在寻找可能的解决方案后,我发现这两个完美适合我的需求。但我无法决定哪些解决方案能够在长时间内继续存在。
但是,我特别倾向于首先接近,因为除非可以访问公钥,否则客户端将无法成功调用授权URL。但我不确定这种方法对所有移动客户端的影响有多好。
非常感谢任何帮助!
答案 0 :(得分:0)
通过SSL发送身份验证URL时,您应该没问题。 SSL将对服务器进行身份验证,并确保数据受到保护,以防止窃听和中间人攻击。然后,URL将通过此受保护的通道发送,因此在验证URL后,服务器可以确定客户端确实是正确的实体。然后,可以通过相同的SSL会话将令牌安全地发送到客户端
如果您使用自己的方案,则必须设置自己的密钥管理方案和协议。这很难做到。您对 public 键访问权限的评论很好地表明您将失败。 SSL也不是完美的,但它已经受到了很多审查,并且它失败的可能性很小。
换句话说,选择#2而不是#1。