验证服务器是否为其所声称的最佳方法是什么。
我猜测使用签名的SSL证书是最好的路线,但是想知道是否有任何程序化方法可以做到这一点。
编辑:这是一个应用程序,其中服务器处理其他服务器(相互验证)以交换用户信息。 (对不起,如果我忘了提到那个)
答案 0 :(得分:1)
由授权CA(证书颁发机构)签名的SSL证书是唯一可以确定的方法。任何其他东西都可以被伪造,特别是任何“程序化手段”都会特别不可靠。简短而简单:无论如何,授权SSL证书是浏览器唯一可识别的可靠证书。
答案 1 :(得分:1)
您不需要证书就可以向某人证明您的身份(或该服务器的身份)。您可以为此目的使用预共享密钥,并避免使用任何公钥基础结构。 TLS(或SSL)协议supports that。找到允许您使用TLS-PSK并使用它的TLS library。
答案 2 :(得分:0)
我推荐HMAC或RSA。 HMAC非常安全且易于实施。如果您有5台服务器需要直接相互通信,HMAC可能会变得笨拙。
你想要保护什么?它听起来像一个Web应用程序,如果它是一个,那么你应该使用SSL证书。