0
我在理解如何保护REST API方面存在一些问题。 当客户注册时,密码被散列并通过HTTPS发送到服务器。 然后,服务器存储哈希(密码+ privatesalt)。使用签名保护REST API
当客户端使用休息服务时,他使用自己的密码创建了请求和签名HMAC-SHA1(如here)。 服务器端,如何在数据库中对密码进行散列腌制时如何签名与客户端签名进行比较的请求?
我知道数据在网上显示清楚,但我只想验证用户。
A
回答
0
你说得对。如果密码被存储在服务器端的盐渍散列&中,则无法验证在请求上计算的HMAC:MAC需要客户端和服务器之间的共享密钥。
有些解决方案可能是:
- 使用这不是用户密码的专用API密钥。据我所知,这是AWS的选择。该密码用于对用户帐户进行管理操作(例如更改结算联系人),并且API密钥仅由API客户端使用。在这种情况下,如果此API密钥遭到破坏,撤销它并生成一个对安全性影响更有限的新密钥相对容易。
- 使用带有X509客户端证书的HTTPS。这是一个更重量级的解决方案,可能更复杂。但是,由于身份验证已移至协议的传输层,因此API用户透明。
相关问题
- 1. 使用Token保护REST API
- 2. 保护GAE Rest API
- 3. 用Spring Security保护REST API
- 4. Grails:使用OAuth2.0保护REST API
- 5. 如何使用wso2 IS保护REST API?
- 6. 使用Facebook OAuth保护REST API
- 7. Rest API中的CSRF保护
- 8. 保护Play的REST API
- 9. 保护REST API和Slim Framework
- 10. 保护一个REST API
- 11. 使用安全REST插件保护REST API
- 12. 保护REST API的用户/密码
- 13. 保护用Play Framework开发的REST API
- 14. 从匿名调用中保护我的REST API
- 15. Magento REST API签名无效
- 16. 使用HMAC保护REST服务
- 17. 保护未经认证的REST API
- 18. 为nodejs/express/passport保护REST api
- 19. 如何保护我的REST-API?
- 20. 如何保护基于Rest的API?
- 21. 保护可从Android访问的REST API
- 22. Paypal Rest API:获得欺诈保护
- 23. 在Grails和Spring Security中保护REST API
- 24. 如何实现FosOAuthServerBundle来保护REST API?
- 25. 使用spring安全保护android应用程序的rest API
- 26. 使用客户端令牌保护REST API调用
- 27. 使用https保护Rails API
- 28. 使用OAuth2.0保护Web Api
- 29. 使用PayPal用户名,密码和签名访问REST API
- 30. 如何使用用户名和密码保护WCF Rest服务?