HTTP介面對于javaweb來講普通的不能再普通了,尤其是現在前后端分離,完全是通過http介面進行資料互動,那么問題來了
前端呼叫后端的http介面怎樣才能安全?
這個安全主要指中途防撰改(這個字忘記怎么讀了),那么很多人立刻想到HTTPS和傳輸內容加簽名。確實,這些都是主流的處理方案。
但是大家有沒有想過,這兩個選哪一個,或者是兩個都選一起上?
HTTPS必須上,這個毋庸置疑,也無需分析討論
但在有了https的基礎上,還需要傳輸內容加簽嗎?
很多人覺得為了安全,肯定還是得要的 你看人家某寶某東某巴....又有https又有介面驗簽
也有很多人覺得https都做完了,內容加簽再做也沒用意義了 就像你們公司的大門上了鎖,個人的小抽屜還需要上鎖嗎
我最近和公司的同事也因此事激烈的爭論,差點打了起來。
朋友們,大神們,請留下您的觀點,幫幫我指導迷津,謝謝
uj5u.com熱心網友回復:
我覺得是在https基礎上還要驗簽。https只是從協議層面保證了網路互動的安全性,驗簽是從業務的角度思考保證安全性。uj5u.com熱心網友回復:
如果要確保傳輸內容沒有篡改,那還是需要加簽名。htpps只是傳輸上加密,只要資料符合加密形式(用公鑰隨便加密一段資料)就能傳輸解密接收,并不保證資料內容沒有篡改(也就是不保證你接收的內容是不是原來的內容)。所以要自己保證,就要自己加簽名,驗證簽名。uj5u.com熱心網友回復:
多用戶的上傳資料介面有必要,服務器可認證提交者身份服務器下行資料介面意義不大,因為仿冒難度大
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/135771.html
標籤:Web 開發