对用户隐藏 REST 数据答案

【问题标题】：Hide REST data from user对用户隐藏 REST 数据
【发布时间】：2025-12-29 11:55:17
【问题描述】：

当使用 HTTPS 消费 REST API 时，有没有办法阻止客户端用户查看调用内部的数据？

我认为 HTTPS 可以做到这一点，但当我运行 Fiddler 时，我看到了一个安装假证书和查看请求内容的选项。

如何确保这一点？

巴特克

【问题讨论】：

【解决方案1】：

那个“安装假证书和偷看请求内容”叫做MITM。 Mitm 是中间人攻击，黑客试图将其自己的 [fake] 证书注入用户，用户使用黑客证书加密数据，黑客解密数据，存储解密数据，使用服务器证书重新加密并将其发送到服务器等

您再次保护 MITM 的唯一方法是检查证书并确保它是有效的证书，如果客户端是您自己的应用程序，您的应用程序应该存储您真实证书的序列号。

因此，防止 SSL MITM 的唯一方法是在发送请求之前存储或验证您的证书。

【讨论】：

感谢您的帮助！因此，“黑客”将能够查看应用程序如何与 Web api 通信，他将能够查看我们发送的数据，但除非他拥有我的应用程序用于加密的“证书序列”，否则他将无法发送 false数据，是吗？
不，如果您的客户端应用程序（浏览器或自定义您自己的应用程序）验证 SSL 证书的完整性并确保它是正确的证书，“黑客”将无法查看数据，因为您的应用程序如果向其提供假证书/错误证书，将不会发送数据。