use*_*003 10 security rest web-services pkcs#7
我需要在REST API中实现消息级安全性并且有一些问题和疑问.我在这里找到了答案: Rest Web服务中的消息级安全性
只是部分有用.
我们目前支持标准SSL传输安全性和多种身份验证方法,包括
我们为什么需要消息级安全性,因为
如果客户端应用程序了解如何处理包络响应,我最初的想法是使用PKCS#7信封作为选项.
我希望客户端应用程序告诉API他们想要一个安全的响应,或者告诉API他们正在POST消息或PUTing的消息是安全的.
我真正的问题是,这应该通过媒体类型传达吗?例如:
我不想丢失有关媒体类型的信息.
它变得复杂,因为在某些情况下签名就足够了.其他人也需要加密.关于如何构造信封,术语"pkcs7"含糊不清.
我希望客户端和服务器通过标准HTTP头告诉对方他们发送的内容类型以及他们理解的内容类型.
当然,如何定义 API 取决于您,没有正确或错误的方法,但是S/MIME是一种很好理解的消息格式,非常适合互联网。如果您更喜欢分散的信任层次结构,则PGP/MIME也是如此。由于这些是易于理解的格式,因此客户端将允许采用现有的库来处理这些消息体。
如果您坚决不想使用多部分响应,则除了 Content-Type 之外,您可能还需要查看Content-Encoding标头。然后,您可以将签名/加密格式指定为自定义编码类型。
使用 HTTP 作为应用程序协议而不仅仅是传输协议有显着的好处,但您似乎已经了解了这一点。确保正确设置和解析 Accept* 标头,包括 q 值。请注意诸如默认值 q=1(表示相等(非降序)偏好)和 q=0 之类的情况。
| 归档时间: |
|
| 查看次数: |
4034 次 |
| 最近记录: |