Prima di dare la mia risposta, esaminiamo innanzitutto l'argomento di HMAC.
Il codice di autenticazione dei messaggi basato su hash (o HMAC) è un meccanismo per calcolare un codice di autenticazione dei messaggi che coinvolge una funzione di hash in combinazione con una chiave segreta. Questo può essere usato per verificare l'integrità e l'autenticità di un messaggio.
Ora l'autenticazione HMAC garantisce l'autenticità della richiesta firmando le intestazioni, in particolare se content-md5 è firmato e controllato dal server E dal client. Nella maggior parte delle situazioni ho usato HMAC per avere un livello di sicurezza più robusto.
Ma sappi che l'utilizzo di HMAC ti apre a una comprensione più ampia di come funziona HTTP, che può rendere le cose più difficili per te o più facile a seconda della tua profondità di conoscenza.
HMAC al fianco di AES è un ottimo set da avere. Secondo me lo userei.
Tieni presente inoltre che se tendi a tenere queste informazioni crittografate su un server per lunghi periodi di tempo, dovresti tenere la chiave segreta mensilmente o forse ogni due mesi in sospeso su come strutturare la sicurezza.