Protezione di un'API con una firma digitale

0

Sto progettando un'API e voglio imparare a creare un metodo di accesso sicuro, qualcosa di più sicuro della semplice emissione di una chiave API.

Da quello che posso raccogliere quanto segue sarebbe sicuro:

  • Il client richiede un token di sessione presentando una chiave API pubblica

  • Il token di sessione viene verificato quando il client presenta l'API con una firma digitale

  • Il token di sessione scade dopo un certo periodo di tempo

  • La firma digitale verrebbe creata utilizzando la seguente funzione
    base64_encode (hash_hmac ('sha1', STRING));

Dove STRING è un modello predefinito come Chiave segreta dell'API + Punto di accesso dell'API + Token di sessione per esempio.

Supponendo che sia giusto ho due domande; c'è bisogno di una chiave pubblica offuscata, purché non sia incrementale o debba essere utilizzato un metodo di generazione di chiavi altamente sicuro? In secondo luogo, la funzione di firma indicata è applicabile alla maggior parte dei sistemi commerciali, sembra che debba essere ampiamente utilizzata da altre API.

    
posta Guesser 25.10.2017 - 19:24
fonte

0 risposte

Leggi altre domande sui tag