Я что-то не понимаю, используя аутентификацию HMAC для моей службы RESTFull. Характер пения HMAC определяется заголовком запроса, и это ключ к разгадке. Но что насчет тела запроса, он не хеширован, как мы должны их защитить. Означает ли это, что я также должен использовать ssl для хеширования тела? Как вы знаете, HMAC - это односторонний алгоритм хеширования.

Заранее спасибо ...

0
Wasim 10 Июн 2013 в 11:34

1 ответ

Лучший ответ

Означает ли это, что я также должен использовать ssl для хеширования тела

Да, конечно, SSL необходим. SSL не используется для хеширования, он используется для шифрования трафика между клиентом и сервером. Это предотвратит атаки типа человек посередине .

1
Darin Dimitrov 10 Июн 2013 в 11:36
Хорошо, спасибо большое. У меня есть еще один вопрос: в чем преимущество хеширования HMAC по сравнению с базовой (имя пользователя, пароль) аутентификацией, если я использую SSL как обязательное условие.
 – 
Wasim
10 Июн 2013 в 19:32
Насколько я понимаю, HMAC используется для защиты аутентичности содержимого запроса, чтобы предотвратить атаки посредника, которые пытаются каким-то образом изменить запрос. SSL используется для шифрования самих данных. Я теряю ясность, если что-то из этого связано с авторизацией пользователя / прохода. Я ожидал, что это будет сделано в любой библиотеке oauth-ish, которую вы используете для этой цели?
 – 
jaydel
27 Июл 2018 в 19:53