Mucho tiempo no escribir un blog, jugando palabra no saben cómo resumir el texto.
En primer lugar, entiendo que como siempre que la interfaz está expuesto al público, no hay seguridad absoluta, usamos https Ye Hao, JWT o no, a la firma vale la pena mencionar son los costos que serán atacados protocolo de interfaz aumenta considerablemente, por lo que los hackers o personas con motivos ulteriores para medir nuestras ganancias ataques del servicio infinitamente cercana a 0, pero la dificultad se incrementa hasta el infinito.
Dado que es un poco de pensamiento, entonces tiene que haber un problema?
1. ¿Por qué la firma, o lo que sus beneficios son?
2. Firma de cómo hacerlo?
3. La firma y la diferencia entre el https?
Supongamos que exponer una interfaz de consulta a la red pública a través de la aplicación o al final web es fácil de conocer los parámetros que se deben pasar, a continuación, el atacante puede escribir un script para crear solicitud ilimitada esta interfaz ataque DDoS. Bueno, hemos añadido la certificación JWT, la solicitud representen atacante o conectarse normalmente recibe jwt del testigo continúa a solicitar este modo, entonces también podemos sellado de la cuenta y solicitud de IP, a continuación, otros utilizan Proxy IP, otros solicitar una cuenta de la misma secuencia de comandos ? Por supuesto, esto es siempre un paso por debajo tienen soluciones, pero hay una manera de resolver todo?
No voy a hablar firmas bien, permítanme decir que creo que debería ser una firma de cómo hacerlo?
En primer lugar, tengo un par de cifrado asimétrico RSA clave privada y la clave pública, hasta el punto de cliente incorporado, marca de tiempo para cada petición del cliente y la solicitud para generar la firma con la clave pública del valor sal al cifrado asimétricamente a valor valor, entonces la necesidad de interfaz para pasar parámetros, marca de tiempo, y una simétrica sal md5 cifrado tal firma generada en un cierto orden, el parámetro, el valor y la firma para el lado de servicio.
La clave privada del servidor para descifrar la marca de tiempo y la sal, y luego los utilizan para generar una firma de la misma manera, y la comparación firma del cliente, si eso no es lo mismo que la denegación de esta solicitud, o incluso puede hacer para comprobar la marca de tiempo, la marca de tiempo válida sólo en un minuto.
Me gusta este enfoque puede resolver el problema anterior es para atacarlo, en primer lugar quiero atacar a una interfaz, debe generar la firma es compatible con el atacante debe conocer el valor de la sal y el orden en la generación de firmas MD5, ya que diferentes cadenas de MD5 para no ser el mismo valor, y nuestra sal por las soluciones de cifrado asimétrico RSA a cabo. Así que para forjar las firmas muy difícil. Como resultado, la legitimidad, la singularidad y la manipulación de parámetros solicitudes de emisión será resuelto!
Y también podemos ser de los esquemas anteriores para mejorar, como multiusos algunas de RSA clave pública y una clave privada, el uso aleatorio cliente del par de cifrado de clave pública sólo tiene que indicar al servidor con el que la línea, también se puede transferir parámetros cifrado, parámetros de transmisión permite a un atacante aún no saben lo que es!
Así que aquí no sé si se siente la diferencia y https firma es válida?
esquema de firma que he descrito como HTTPS y también consultar con el cifrado asimétrico, la transferencia de datos encriptados con una diferencia simétrica, formal está enterrado con antelación no requiere https punto, pero por las negociaciones asimétricas a través de un certificado de CA terceros.
En realidad, creo que es simplemente para proteger el canal de transmisión es https, la firma es la capa de aplicación de la protección.
la protección de la firma es la interfaz no se abusa, no hay ninguna firma, incluso si https interfaz de petición puede ser llamadas libremente sin límite, y https papel es el de asegurar que el proceso de adquisición de contenido no se bloquearán para solicitar la solicitud de transferencia intermedia con el fin de forjar la solicitud de spoofing el servidor.
Estos son mi firma para pensar un poco y https, no es muy amplia, fuerte subjetiva, que describe algunos lugares pueden no estar en su lugar, las exposiciones.
