我正在为 Web 应用程序开发 API。桌面客户端将使用简单的 HTTP post (REST) 与 API 交互。我将使用 SSL,这是毫无疑问的。我的问题是:我是否也应该在通过 SSL 发送数据之前对其进行加密?发送的信息可能包含 secret 信息。 SSL 是否足够或我应该做更多?我对添加额外安全层的唯一担心是,它会使人们与 API 交互变得更加困难。对此有任何想法将不胜感激。
最佳答案
不,SSL 提供强大的加密功能。只要确保您强制客户端使用 HTTPS,如果您真的很偏执,请检查密码是否足够强大。
您想要第二次加密的唯一原因是您的 Web 应用程序是否将数据直接传递到其他系统。在这种情况下,您可以让 Web 应用程序不知道实际数据,并在客户端和最终目的地之间提供端到端加密。
关于security - API 安全问题 : SSL or more?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2127771/