我有一个移动应用程序和一个服务器。移动应用程序通过SSL通过Web服务框架与服务器进行通信。使用数字签名的公用私钥
移动应用程序允许客户支付交易费用。服务器通过用户名,密码,设备ID和数字签名在每次Web服务呼叫中验证移动应用程序。
设备ID确保移动帐户正在从用于创建帐户的设备访问。因此,即使他知道移动账户的用户名和密码,黑客也需要物理访问智能手机。
数字签名是使用在移动应用程序内硬编码的私钥计算的。从移动应用程序发送的每条消息都伴随有使用此私钥计算的数字签名。这确保了消息来自移动应用程序,并且消息的内容在传输过程中未被更改。
如果发现此私钥会导致什么后果?黑客是否能够修改通过SSL传输的信息,并仍然使用此私钥重新计算有效的数字签名?如果移动应用程序生成一个公钥 - 私钥对并将公钥发送到服务器,会不会更好?或者这会不必要?非常感谢。
这个问题似乎是题外话题,因为它是关于一个安全方案,而不是编程本身。尝试security.stackexchange.com。 –