Я закодировал мобильный api с помощью Node.js, Redis & MongoDB. Однако прямо сейчас я ищу конкретный способ для обеспечения безопасности в нашей системе. Вопрос, который я вдохновил печально известный принцип Августа Керкхоффа;Mobile API Security Paradigm
«Это не должно быть обязательно быть секретным, и он должен быть в состоянии попасть в руки противника без неудобств»
После проверки этого принципа я сообразить, что не существует безопасного способа для защиты данных после того, как сниффер захватил весь пакет данных. Конечно, существуют альтернативные способы, как с помощью API ключ, используя алгоритмы шифрования как MD5 & MD6, Triple DES, SHA1 и т.д. Однако это также не будет работать, если весь пакет данных захватывается , И есть стандарты безопасности, такие как HTTPS, SSL-сертификаты. Однако, если кто-то с талантом захватывает пакет данных, он может действовать точно так же, как и проверенный пользователь в нашей системе.
Как можно применить метод безопасности, так что даже если весь пакет данных будет захвачен, система сможет отличить запрос от внешнего источника, а не от нашего проверенного пользователя.
PS: Я думал, что применение пользовательского алгоритма шифрования с отметкой времени, чтобы предотвратить эту проблему, может быть немного хаотичным.
Что не так с HTTPS? При правильной проверке HTTPS нет среднего человека. –