API接口几种安全验证方法
如何保证数据的安全
方式一:简单的密文传输
特点:
(1)服务端和客户端先约定好加密算法,加密密钥;
(2)客户端,传输前用约定好的密钥加密;
(3)传输密文;
(4)服务端,收到消息后用约定好的密钥解密;
黑客定理:
客户端是不安全的,属于黑客本地范畴,能被逆向工程。
方式二:一人一密,服务端生成密钥
特点:
(1)客户端和服务端提前约定好加密算法,在传递消息前,先协商密钥;
(2)客户端,请求密钥;
(3)服务端,返回密钥;
(4)然后用协商密钥加密消息,传输密文;
黑客定理:
(1)网上传输的内容是不安全的,黑客能得到加密key=X;
(2)客户端和服务端提前约定的加密算法是不安全的,黑客能得到加密算法;
(3)黑客截取后续传递的密文,可以用对应的算法和密钥解密;
应该如何优化呢?
根本上,密钥不能在网络上直接传输。
方法三:根据用户特性一人一密,密钥不再传输
特点:
(1)协商的密钥无需在网络传输;
(2)使用“具备用户特性的东西”作为加密密钥,例如:用户密码的散列值;
(3)一人一密,每个人的密钥不同;
(4)然后密钥加密消息,传输密文;
(5)服务端从db里获取这个“具备用户特性的东西”,解密;
黑客定理三:
用户客户端内存是安全的,属于黑客远端范畴,认为是安全的。
