我需要在REST API中实现消息级安全性并且有一些问题和疑问.我在这里找到了答案: Rest Web服务中的消息级安全性
只是部分有用.
我们目前支持标准SSL传输安全性和多种身份验证方法,包括
我们为什么需要消息级安全性,因为
如果客户端应用程序了解如何处理包络响应,我最初的想法是使用PKCS#7信封作为选项.
我希望客户端应用程序告诉API他们想要一个安全的响应,或者告诉API他们正在POST消息或PUTing的消息是安全的.
我真正的问题是,这应该通过媒体类型传达吗?例如:
我不想丢失有关媒体类型的信息.
它变得复杂,因为在某些情况下签名就足够了.其他人也需要加密.关于如何构造信封,术语"pkcs7"含糊不清.
我希望客户端和服务器通过标准HTTP头告诉对方他们发送的内容类型以及他们理解的内容类型.