2
我将移动应用程序的其余API添加到我现有的Grails Web应用程序中。由于我很难将OAuth2提供程序集成到我的应用程序中,因此我将实现我自己的HMAC机制。REST Api身份验证 - 交换私钥
HMAC使用密钥,我想要的是每个应用程序的用户都拥有自己的密钥。现在的问题是如何在API和移动设备之间最初以安全的方式传输秘密。
当然所有的沟通都将通过SSL进行。但是,当通过电线第一次连接时,将客户机密钥从服务器发送到移动客户端是否安全?
或者我应该使用一个秘密并将其与移动客户端存储在一起,这可能很容易被反向设计?
或者也许有其他更好的方法来做到这一点?