我正在设计一个客户端连接到的Web服务,以检索一些私人数据。每个客户端都有一个唯一的ID和一个秘密密钥(由服务器生成),作为参数发送给Web服务以验证自己。另外,所有通信均通过HTTPS完成。使用通道加密(https)使密钥冗余冗余吗?
我也计划使用HMAC-SHA256,以避免通过电线发送密钥。
但是,我想知道这是否是绝对必要的。由于HTTPS为我提供了客户端和服务器之间的安全通道,为什么我真的介意通过该通道发送密钥?
我设法提出的唯一原因是,一个未知的开发人员可能会在将来添加一个服务,而不会拒绝非HTTPS连接,所以对密钥进行散列是一种针对企业软件开发实际的保险,如果你愿意的话,可以增加一道防线。
我错过了更重要的东西吗?这是一个真正的漏洞,一些攻击媒介可以利用?