【发布时间】:2015-06-10 21:18:13
【问题描述】:
目前,我的网站面临许多错误请求,我想加密响应以减少这些错误请求。 我的第一个想法是让客户端使用我分配的唯一签名调用我网站的 api,
例如http://www.my_api/?query=aa&sign=unique_string。
然后我验证签名,如果它是有效的,我会通过某种加密算法使用签名对响应进行加密。然后让客户端通过它的签名来解密响应。
不知道是不是通用方式?
我也听说过 HTTPS。 HTTPS 能解决我的问题吗?如果是这样,哪个更好,或者请分享您的想法。
【问题讨论】:
-
所以您想开发一些像许多 Web 服务使用的访问密钥之类的东西吗?最好使用 HMAC 签名而不是加密。
-
不是 Robert,它只是一个为 Android 设备服务的通用 API 服务。我想减少那些未知(不完全是我们的客户)的请求。所以我想加密响应数据。但我想知道哪种方法最好。
-
如果您的应用程序可以解密数据,任何反编译您的应用程序的人也可以这样做。通常开发人员在这种情况下使用 HTTPS(不要禁用服务器证书检查!)和 API 密钥。密钥嵌入在应用程序中,应用程序被 DexGuard 等产品混淆。
标签: encryption https