确保来自男性的公共服务信息

如何保护提供私人信息的公共服务信息?

该服务根据客户端发送给它的用户名和密码提供一些信息。 例如:

请求

<get-my-info>
 <username>username</username>
 <password>password</password>
</get-my-info>

响应

<your-info>
 <private-info-a>private-info-a</private-info-a>
 <private-info-b>private-info-b</private-info-b>
</your-info>

该服务应该相当容易使用,并允许新客户出现,因此强制客户注册与其关联的密钥不是一种选择。

将私钥放在服务器上并发送公钥给客户端来加密敏感信息就足够了吗? 因此,只有服务器才能解密来自客户端的消息,并且所有客户端都将使用相同的公钥,从而更容易创建新的客户端。

该服务正在连接一个遗留数据库,该数据库提供服务所需的所有信息:用户名/密码和私人信息查询。 维护用户名/密码方法并避免数据库更改(例如存储用户的密钥)是首选。


如果您使用标准https,则在中间人攻击时您是安全的,前提是您有一些身份验证和授权步骤来启动每个对话。 您也可以为每个请求发送安全令牌。


你接近....

您可能会混淆这里的两个概念,认证用户并保护(加密)数据。 而不会详细讨论安全协议如何工作(https,SSL)。托管服务的服务器需要一个证书,就像您说的那样,服务器将拥有一个其他人不知道的私钥和一个公钥任何人都可以知道......现在,您的客户端将使用服务器公钥(浏览器将处理此事)加密数据,这将确保只有服务可以解密数据(使用私钥),因此数据是保证...

为了保证(来源完整性),服务需要使用(用户名和密码)来认证客户端,

总之你需要为你的服务器购买并注册一个证书。 客户必须认证自己

链接地址: http://www.djcxy.com/p/3703.html

上一篇: Securing information on a public service from man

下一篇: Understanding SSL