|
|
1
3
你提出的解决方案是正确的。你基本上是在表演 challenge-response authentication 你自己。每个令牌可以由非机密质询字符串C和HMAC(C,K)组成,其中K是服务器的密钥。 要验证令牌,只需使用提供的C值重新计算HMAC,并查看它是否与提供的HMAC值匹配。 另外,正如Vinko提到的,您不应该使用MD5;SHA-256是一个不错的选择。 |
|
|
3
1
这不是太简单,这当然是实现简单数字签名的有效方法。 当然,你不能向任何人证明 其他的 您生成了签名而没有透露您的秘密密钥,但是为了这个目的,您需要使用更复杂的协议,如pki。 |
|
4
1
只是为了吹毛求疵,你会证明 只有 谁有权访问S,谁就可以生成令牌。另一个小细节:使用更好的哈希,比如sha256。因为如果马洛里能够产生碰撞,她甚至不需要知道S。 |
|
|
Michael · 某些Windows客户端上的命名管道安全问题 2 年前 |
|
|
adamency · 是否可以从Go二进制文件的源代码中检索字符串? 2 年前 |
|
|
AlboSimo · PayPal Api密钥安全 2 年前 |