我有一个场景,我有2个应用程序。
我希望服务和客户端之间的通信安全(加密)。
我应该用它做什么?用于此类用途的SSL通用协议,还是我们通常使用其他东西?
答案 0 :(得分:1)
假设您的服务正在暴露您的前端正在调用的标准REST API(或类似):是的,SSL是标准。它提供:
机密性:数据在客户端和服务器之间加密,攻击者无法读取。通常使用RSA algorithm。
完整性:攻击者无法篡改客户端与服务器之间发送的消息。通常使用HMAC
身份验证:客户端能够检查与通信的服务器实际上是,而不是攻击者。基本上,服务器向客户端显示由颁发SSL证书(例如VeriSign)的证书颁发机构签署的证书,证明其身份。
所有假设SSL都在服务器端正确配置:最新密码,不支持过时密码,正确密钥长度(2048位或更高)等等。
请注意,客户端可以是任何调用您服务的内容:基于浏览器的应用程序,移动应用程序,智能手表应用程序......
您可以使用SSL Labs检查您的SSL配置是否安全。