API接口几种安全验证方法

如何保证数据的安全

方式一：简单的密文传输

特点：
（1）服务端和客户端先约定好加密算法，加密密钥；
（2）客户端，传输前用约定好的密钥加密；
（3）传输密文；
（4）服务端，收到消息后用约定好的密钥解密；

黑客定理：
客户端是不安全的，属于黑客本地范畴，能被逆向工程。

方法 api接口安全验证-传输密文

方式二：一人一密，服务端生成密钥

特点：
（1）客户端和服务端提前约定好加密算法，在传递消息前，先协商密钥；
（2）客户端，请求密钥；
（3）服务端，返回密钥；
（4）然后用协商密钥加密消息，传输密文；

黑客定理：

（1）网上传输的内容是不安全的，黑客能得到加密key=X；
（2）客户端和服务端提前约定的加密算法是不安全的，黑客能得到加密算法；
（3）黑客截取后续传递的密文，可以用对应的算法和密钥解密；

应该如何优化呢？
根本上，密钥不能在网络上直接传输。

方法三：根据用户特性一人一密，密钥不再传输

特点：
（1）协商的密钥无需在网络传输；
（2）使用“具备用户特性的东西”作为加密密钥，例如：用户密码的散列值；
（3）一人一密，每个人的密钥不同；
（4）然后密钥加密消息，传输密文；
（5）服务端从db里获取这个“具备用户特性的东西”，解密；

黑客定理三：
用户客户端内存是安全的，属于黑客远端范畴，认为是安全的。