Поскольку вы не хотите использовать https, я полагаю, что конфиденциальность здесь не проблема, и вы только хотите разрешить запросы, основанные на том, кто их создает. Вместо того, чтобы передавать простой токен, который можно украсть, вы должны попросить своих клиентов подписать их запросы. У вас есть хорошее объяснение здесь:
Короче говоря, и взяты из Implementing HMAC authentication for REST API with Spring Security:
- клиента и сервера доли секрет доступа ключ и ключ открытого доступа.
- Клиент создает запрос, содержащий три основных элемента: заголовок открытого ключа (в виде простого текста), заголовок даты, строку подписи, вычисленную хэшированием некоторых данных запроса с помощью секретного ключа доступа. Этот хэш обычно содержит метод http, путь uri, значение заголовка даты (для ответных атак), весь контент запроса (для методов POST и PUT) и тип содержимого.
- Клиент отправляет запрос на сервер.
- Сервер считывает заголовок открытого ключа и использует его для получения соответствующего закрытого ключа доступа.
- Сервер использует секретный ключ доступа, чтобы вычислить подпись так же, как это сделал клиент.
- Сервер проверяет, совпадает ли только что вычисленная подпись с адресом, отправленным клиентом.
- (НЕОБЯЗАТЕЛЬНО) Во избежание ответных атак сервер проверяет, что значение в заголовке даты находится в пределах допустимого предела (обычно от 5 до 15 минут до расчёта расхождений). Злоумышленник не может манипулировать этим значением, поскольку он используется как часть подписи. Если кто-то изменит заголовок даты, сервер рассчитает другую сигнатуру, рассчитанную клиентом, так что шаг 6 завершится неудачно.
Эта логика может быть реализована с использованием любого языка программирования. Ниже псевдокод Пример подписи в Java:
//clientId is the public client identifier
//secretKey is the key shared between server and client
//requestContent is a string representation of the HTTP request (HTTP verb, body, etc.
//init signing key and mac
SecretKeySpec signingKey = new SecretKeySpec(secretKey.getBytes(), "HmacSHA1");
Mac mac = Mac.getInstance("HmacSHA1");
mac.init(signingKey);
//sign the request content
byte[] rawHmac = mac.doFinal(requestContent.getBytes());
//encode to base64
String result = base64(rawHmac);
//store in header
request.setHeader("Authorization", "MyAPI " + clientId + ":" + result);
На стороне сервера, когда вы получаете этот запрос, вы извлекаете ClientId и подпись из заголовка, получить секретный ключ, соответствующий ClientId получил , перекомпилируйте подпись (точно так же, как указано выше) и сравните результаты. Он соответствует клиенту, разрешен, если вы не возвращаете HTTP 403 (или любую другую ошибку, которую вы хотите).
Там нет, то больше нет «секретов», чтобы украсть для потенциального человека в середине, но все еще есть ключи, которые должны быть надежно храниться на обоих клиентах и сервере. Утечка этих ключей приведет к компрометации всей системы.
В чем причина отказа от использования https? – user2953113