【发布时间】:2014-09-05 06:39:04
【问题描述】:
我正在创建一个应用程序和本机应用程序,它们将访问一堆 RestFul Web 服务。我们已经在使用 HTTPS 来保护 API,但想了解我们是否仍需要 API 密钥或 OAuth 密钥之类的东西来验证数据
【问题讨论】:
标签: security oauth https api-key
【发布时间】:2014-09-05 06:39:04
【问题描述】:
加密和认证是两个不同的东西。加密只是防止外部各方窥探传输的数据。如果您想控制谁可以使用 API 访问哪些资源,则需要身份验证。
【讨论】:
-
你好 Remy,谢谢你的回复。你能帮我嗅探我的 HTTPS 请求吗?我的意思是有什么方法可以读取我的应用程序发出的 API 请求。如果是这样,应该有什么方法来防止它们
-
同样,加密可以防止窥探。所以不,如果请求被加密,外部方无法嗅探请求。但是,中间人攻击者有可能拦截请求,除非您使用证书让客户端和服务器验证彼此的身份。