【发布时间】:2019-07-17 00:01:39
【问题描述】:
我想将数据(4 个字符串值)从我的移动应用程序发送到后端。为了避免有人对我的 POST 请求进行 whireshark 并向我发送一些垃圾邮件的情况,我想创建一些数据哈希,我将在 POST 中包含这些哈希。然后后端将自己计算这个哈希,并查看发布和计算的哈希是否匹配。所以关键是只有我知道这个哈希是如何计算的。
我的问题是,是否有任何已知/推荐的解决方案或算法可用于此任务?
【问题讨论】:
-
加密相关安全性的基本规则 (Kerckhoff's Principle) 意味着您必须假设攻击者知道算法的所有细节 — 密钥由密钥强制执行。我很确定这意味着您需要使用数字签名或类似技术来保护数据的安全,和/或使用安全算法加密数据(保持适当的密钥数据安全 - 当然,使用公钥算法,公钥不是秘密,但私钥必须保密)。你概述的内容是可颠覆的。
-
您只需要使用 https,它会处理除验证用户之外的所有事情,大概您已经使用用户名和密码进行了验证。