那些遇到过的问题

JSON RPC over TLS是否足够安全?

Fab*_*sta 3 php security ssl json-rpc

我打算让一个PHP Web服务接受基于TLS(HTTPS)的JSON-RPC.每个客户端都有一个API密钥,我将用于识别目的.这是否足够安全,是否有JSON-RPC安全特定标准?

Tho*_*zco 5

这是一种很好的做事方式.以下是安全方案中要求和组件的概述:

清单

这是需要什么安全性的清单,以及如何解决它:

  • 第三方无法窃听您的通信.HTTPS提供此功能.
  • 第三方不能篡改您的通信.HTTPS也提供此功能.
  • 客户端可以验证服务器.HTTPS提供此(*).
  • 服务器可以验证客户端.

客户端验证

有很多方法可以验证客户端.这里有一些exaples:

  • 使用API​​密钥计算请求的HMAC,并在请求中包含HMAC作为标头.(**)最安全,但设置更复杂.关键优势是,如果您的服务器遭到入侵,API密钥将不会暴露.
  • 在请求中包含API密钥本身.设置更简单,可能具有足够的安全性,具体取决于您的要求.
  • ...

(*):只要客户端库可以.HTTPS要求您使用验证您的站点对应于域名的证书.不幸的是,许多HTTPS库默认不对此进行验证.
(**):您还应该使用随机数来防止重放攻击.

归档时间:

查看次数:

2033 次

最近记录:

12 年,8 月 前
相关归档
排序算法:Magento结帐总计错误排序导致错误的运费税计算 37
你能暗示数组的项目类型吗? 34
PHP base64_encode和*nix base64之间有什么区别 25
如何按条件过滤数组 24
在php中查找多维数组中的所有二级键 21
Wordpress:single.php不显示the_content() 21
MySQL查询IN()子句索引列缓慢 19
Nginx安装中间证书 15
IP地址和端口应该被视为机密吗? 8
保护连接字符串 5
难疑归档
"git add -A"和"git add"之间的区别. 2788
如何检查字符串是否包含特定单词? 2663
在shell中,"2>&1"是什么意思? 2121
在JavaScript中生成两个数字之间的随机数 1635
如何在Git中完全替换另一个分支中的master分支? 1549
Android中的gravity和layout_gravity有什么区别? 1286
你如何在YAML中阻止评论? 1272
如何列出使用ATTACH打开的SQLite数据库文件中的表? 1151
如何撤消git reset --hard HEAD~1? 1083
抵消html锚点以调整固定标题 1056