为什么使用 https 调用 API 仍然推荐需要使用 key 来签名

2022-07-26 05:55:51 +08:00
 dayeye2006199
例如如下的 API -- https://open.shipout.com/portal/documentation/introduction.html#%E9%89%B4%E6%9D%83

仍然使用了获取的 key 来签名 http 头文件。我的理解是 https 已经保证了通信过程中内容的不可篡改性,这种情况下,手动签名主要是为了解决什么问题呢?

我是安全小白。
6786 次点击
所在节点    信息安全
64 条回复
IvanLi127
2022-07-28 10:37:57 +08:00
@EminemW 这里讨论有没有必要增加校验的复杂度,很难理解吗?
vantis
2022-07-29 09:11:13 +08:00
@dzdh 和服务器有啥关系……
HTTPS 是公开的证书 任何人都可以建立加密通信 但客户服务器怎么证明自己是自己呢?除非网站有一个客户服务器自己的证书并且对签名验签通过
这个就是签名的作用
签名的密钥是在之前记录进去的 只有你通过私有的密钥签名 服务器用你之前录入的公钥验签了 才能保证请求确实来自对应的客户服务器

以上和客户服务器被入侵是两个话题 如果你服务器被入侵了 是你自己持有的私钥泄漏了 这个服务器当然不知道访问者是攻击者的
dzdh
2022-07-29 09:17:16 +08:00
@vantis #62

首先回的是哪一楼啊

HTTPS 的证书是公开的,没错,在 TLS 握手阶段会发送给浏览器也没错。

然后呢?我 HTTPS 的基础之上,不使用 [签名] ,而使用 basic auth 就不能证明自己了吗?
byte10
2022-08-14 23:14:12 +08:00
@datoujiejie221 我是好奇为啥大家聊偏了,就是一个鉴权的方案而已,不用签名,也可以换别的。。服了这些评论区。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/868678

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX