标签: java rest api security stateless
我需要为用户实现一个Web应用程序来兑换货币。 应用程序需要调用API#1来检索汇率并将其显示在屏幕上以进行确认。然后使用已确认的汇率调用另一个API#2(相同的API提供程序)以进行货币兑换。
为了避免在服务器上存储状态并保护汇率免受用户修改,我可以想到的是,API#1需要使用对称密钥返回普通汇率及其对应的加密汇率。然后将加密的密码传递给API#2以执行交易。
我正确吗?如何安全地实施加密?具有登录名和登录时间戳的按用户对称密钥?还是为每个登录会话随机生成一个会话密钥?