security - 在 HTTP 到 HTTPS 重定向期间验证请求标头
问题描述
简单的问题。我想知道何时发送请求标头。在 HTTP 到 HTTPS 重定向之前还是之后?我的安全问题是,如果我们的第 3 方供应商不小心使用 HTTP 发出请求,他们会使用 auth-token 请求标头联系我们的 API。
感谢您在这件事上的专业知识。
解决方案
您无法阻止您的第 3 方供应商通过 HTTP 发送令牌。那么,你应该改变你使用令牌的方式。甚至没有必要发送它,无论是否加密。
使用令牌作为预先共享的秘密。然后身份验证工作如下:
第 3 方供应商向服务器发送请求,向服务器提供用户名或其他标识他的信息
服务器发送质询。这通常是单向函数的应用——散列函数。因此,服务器要求客户端发送 auth-token 的 SHA1-Hash。
客户端通过计算 auth-token 的 SHA1-Hash 来解决挑战。然后他将结果发送回服务器。
服务器通过计算 auth-token 的相同 SHA1-Hash 来检查结果。
假设您使用的是安全哈希函数,攻击者没有机会窃取令牌,因为它仅作为哈希值传输。
进一步阅读: https ://blog.restcase.com/restful-api-authentication-basics/
推荐阅读
- json - 我需要从我的 component.ts 文件中保存的 JSON 对象中获取数据
- r - 在 R Shiny 的 UI 中的 IF 语句中使用反应值
- android - 是否可以将 DataSnapShot 更改为模型?
- ruby-on-rails - Rails:使用 Authlogic 进行 Google 身份验证
- java - Kotlin:只有 getter 的私有可变属性
- javascript - Kendo MVVM - 模板未更新
- java - 找到多个文件,其独立于操作系统的路径为“META-INF/INDEX.LIST”
- angularjs - 如何在 Angular js 材料中分别抛出表单错误?
- unit-testing - 我什么时候应该觉得我的单元测试已经完成了?
- docker - 注册表在哪里运行