使用 TLS 时,对 HTTP 请求进行签名有什么好处吗?

信息安全 http 电子签名 请求签名
2021-09-08 06:03:38

签署 HTTP 请求如今风靡一时。通过不安全的渠道进行通信时,这样做的好处是显而易见的。使用签名,您可以为这样的环境带来消息完整性和身份验证。

但是,当通信渠道安全时,我正在努力解决签名带来的问题。就像 TLS 一样。消息完整性由 TLS 保证,身份验证可以是更简单的共享密钥(如 API 密钥)。

我唯一能想到的是一个利基场景,其中不希望共享秘密或交换秘密需要在不安全的渠道上进行。也许值得它的是深度安全?

1个回答

TLS 仅保护 TLS 端点之间的通信,即某些客户端证书将仅由 TLS 服务器检查。使用签名请求时,身份验证和完整性绑定到请求而不是通信通道,这意味着即使涉及负载均衡器或其他反向代理等 TLS 终止代理,最终接收者仍将对其进行保留和验证。

其它你可能感兴趣的问题
上一篇哪些问题有助于确定移动应用渗透测试的范围? 下一篇如果不在本地存储中,在哪里存储刷新令牌?