拒绝 API 在公网裸奔之实现过程

2019-01-13 17:51:31 +08:00
 jss
(先忽略 Https )不想让 API 数据在公网中裸奔于是查了一些方案,比如:jwt des aes rsa 等,最终组合一个理想解决方案:Rsa+Aes; 客户端生成 Aes 密钥 将请求参数进行 Aes 加密,然后,Aes 密钥通过 Rsa 加密一并提交给服务器,服务器通过 Rsa 解密获得 Aes 密钥,进行 Aes 参数解密处理,最后通过解密后的 Aes 密钥加密返回给客户端,实现,公网传输加密。
6151 次点击
所在节点    PHP
22 条回复
alvin666
2019-01-13 17:54:32 +08:00
这不就是自己实现了 https ?
chendy
2019-01-13 17:56:26 +08:00
所以为啥不用 https 呢
tomczhen
2019-01-13 17:56:32 +08:00
有种技术叫 HTTP 双向认证,了解一下?
ayase252
2019-01-13 17:59:32 +08:00
加上证书验证差不多就是 HTTPS 了啊
yuikns
2019-01-13 18:01:27 +08:00
jwt 和此处有什么关系……?
des
2019-01-13 18:02:05 +08:00
所以为什么不用 https ???
weizhen199
2019-01-13 18:02:49 +08:00
https api 除了抗重放以外还差什么吗
Immortal
2019-01-13 18:03:18 +08:00
所以为什么不用 https+jwt
yuikns
2019-01-13 18:03:23 +08:00
现在还有人分不清 Password 和 Encryption ?
honeycomb
2019-01-13 18:42:26 +08:00
@des
@Immortal
这个人自称宁可发明一遍 HTTPS 也不要用 HTTPS
chinvo
2019-01-13 18:43:15 +08:00
你这和 HTTPS 有啥区别
xiangyuecn
2019-01-13 18:52:46 +08:00
@weizhen199 #7 你的意思 https 包能重放? https 原生抗重放吧
masker
2019-01-13 19:02:31 +08:00
重定义 HTTPS ?
lhx2008
2019-01-13 19:04:28 +08:00
有鬼用,没有证书验证是否服务器是服务器发出的公钥,第三人半路拦截就可以发一个他自己的公钥了。完全不可靠。
lhx2008
2019-01-13 19:08:33 +08:00
@xiangyuecn https 应该不能抗重放吧,还是可以重发加密包的
xiangyuecn
2019-01-13 19:46:45 +08:00
@lhx2008 我觉得除了明文外,重放是最恶劣的底层协议缺陷。如果 https 能重放,那比 http 优越不到哪去,还不如回滚到大家都用 http 的时代,轻快省力,就是裸奔了点。重发≠重放,服务器收到这种包直接丢弃好像。
yzwduck
2019-01-13 19:57:16 +08:00
@lhx2008 在正常密钥交换的情况下,HTTPS ( TLS 本身)就抗重放。重发的包不会影响上层应用数据内容,最多服务器认为协议异常而终止连接。
https://security.stackexchange.com/q/20105
lhx2008
2019-01-13 20:04:28 +08:00
@xiangyuecn
@yzwduck

谢谢,确实,中间人无法重发 TCP 包来做重放攻击,但是业务上还是得做随机数来防止在客户端上的重发。还有一种比较高成本的第三人攻击是可以通过中断 TCP 回程,迫使客户端重发。
dawniii
2019-01-13 20:20:42 +08:00
@lhx2008 感觉您说的不是重放,而是业务上的幂等。
jimrok
2019-01-13 21:09:43 +08:00
@lhx2008 https 无法重放,https 的握手建立过程中,server 决定每次的交换密钥,所以,无法回放加密的包来建立握手。另外 https 还有前向安全性,及时偷走了服务器上的主密钥,你也破解不了历史的加密包。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/526632

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX