首頁猿問服務(wù)器想移動客戶端傳輸數(shù)據(jù)的安全問題

服務(wù)器想移動客戶端傳輸數(shù)據(jù)的安全問題

JavaScript

慕容3067478 2019-04-23 15:18:48

最近在思考安全性的問題。情景是：服務(wù)器和客戶端之間的數(shù)據(jù)通訊（更確切的是，主要是服務(wù)器給客戶端傳遞數(shù)據(jù)）。如果使用https的話，不可避免的是每次鏈接都會有更多的握手步驟，帶來的時間開銷，會大大的降低移動端的用戶體驗吧。而且，用經(jīng)典的ASIHttprequest似乎也不支持https╮(╯_╰)╭。不知道大俠們有些什么更好的建議？

查看完整描述

2 回答

慕虎7371278

TA貢獻(xiàn)1802條經(jīng)驗獲得超4個贊

@gaosboy提到的對稱加密的方法基本可行。為增強安全性，另外提供一種簡易的方案：服務(wù)器端與客戶端先共同約定好一個密鑰K，客戶端可通過SFHKeychainUtils等工具加密存儲K；服務(wù)器端加密時，可獲取當(dāng)前unix時間戳，假設(shè)為T，則加密過程中可使用K-md5(T)-K（或任意其他規(guī)則，只要將T混淆到密鑰中即可）為密鑰，進行加密，并將加密時的時間戳T或md5(T）傳給客戶端；客戶端根據(jù)相應(yīng)的規(guī)則拼接好密鑰后，進行解密。這樣做的好處是，即使密鑰K或任意一次會話過程中的密鑰被破解，仍然無法完全對所有會話進行解密，必須同時知道K、密鑰拼接規(guī)則以及加密方法才可完全破解。

反對回復(fù) 2019-04-23