背景：我正在為REST Web服務(wù)設(shè)計(jì)身份驗(yàn)證方案。這并不是“真正”需要安全的（它更多是一個(gè)個(gè)人項(xiàng)目），但我想使其與練習(xí)/學(xué)習(xí)經(jīng)驗(yàn)一樣安全。我不想使用SSL，因?yàn)槲也幌肼闊?，而且在大多?shù)情況下也不需要設(shè)置它的開銷。這些SO問題對于我入門特別有用：RESTful身份驗(yàn)證保護(hù)REST API / Web服務(wù)的最佳做法最佳SOAP / REST / RPC Web API的示例？你為什么喜歡他們？那他們怎么了？我正在考慮使用Amazon S3身份驗(yàn)證的簡化版本（我喜歡OAuth，但對于我的需求而言似乎太復(fù)雜了）。我在請求中添加了服務(wù)器提供的隨機(jī)生成的隨機(jī)數(shù)，以防止重放攻擊。要解決這個(gè)問題：S3和OAuth都依賴于對請求URL以及一些選定的標(biāo)頭進(jìn)行簽名。他們都沒有在 POST或PUT請求的請求主體上簽名。這難道不容易受到中間人攻擊，這種中間人攻擊會保留url和標(biāo)頭并用攻擊者想要的任何數(shù)據(jù)替換請求正文？似乎我可以通過在已簽名的字符串中包含請求正文的哈希值來預(yù)防這種情況。這樣安全嗎？