Use*_*ser 1 air security web-services web-applications oauth
我正在为最终用户创建一个 Web 服务,该服务将具有 Adobe AIR 桌面应用程序形式的前端,但用户也可以通过该网站访问他们的数据。用户的数据将在服务器和本地数据存储之间同步。问题是我无法获得 SSL 证书。有没有办法让这个更安全......
我想我可以使用两条腿的 oAuth 或类似 Amazon S3 的身份验证系统吗?
在这种情况下你有什么建议?
第一个问题是:为什么拿不到SSL证书?我可以想到两个原因:
如果您的问题是#1,StartSSL提供有效期为 1 年的免费证书,或者收取 50 美元的费用以获取有效期为 2 年的无限制证书(包括通配符)。它们得到 Mozilla 和 Microsoft 信任商店的认可。
如果问题是#2,为什么不颁发自签名证书并将其硬编码到您的应用程序中呢?这根本不会损害系统的安全性(应用程序只会接受您的特定证书),但无需从其他地方“获取”SSL 证书。
如果您确实无法使用 SSL,请考虑质询响应系统,例如 Kerberos 或匿名密钥材料生成器,例如 Diffie-Hellman(使用非对称密钥进行服务器身份验证)。存在许多通过不安全线路进行安全两方身份验证的方法。关键是身份验证步骤必须是质询-响应,而不是“向我发送你的秘密”方案。
| 归档时间: |
|
| 查看次数: |
1246 次 |
| 最近记录: |