【系统安全性】五、协议

五、协议

1、HTTPS

认证的问题：HTTP中，敏感信息以明文传递，可以通过抓包抓取

安全版HTTP（HTTP over Secure Socket Layer），整个通信过程加密，使用对称加密和数字证书的技术

SLL/TLS机制：复杂的握手协议

SLL/TLS机制下的加密通信过程

JSSE（Java Security Socket Extension）：SLL/TLS机制的一种实现

功能：数据加密、服务器、客户端验证；消息完整性

生成私钥和证书：OpenSSL，KeyStore

使用客户端/服务端API：SSLContext、KeyManagerFactory、TrustManagerFactory

HTTPS部署：Tomcat 

2、OAuth

Open Authorization

类似QQ号的多个不同网站登录？

背景：在分布式场景下开放和消费第三方接口（SAO架构，ESB架构），平台商保证用户私有数据访问合法访问

授权方式：不需要账户信息访问第三方应用（ISV），平台厂商通过OAuth协议对第三方应用授权

体系复杂：综合一个用摘要验证、签名认证、HTTPS等；开发者入住；权限粒度控制Token生成和校验；分布式Session；公私钥管理

 实现框架：