问HTTP请求的真实性和完整性

EN

HMAC和数字签名都提供了完整性和身份验证：

• 完整性-因为两者都是基于散列的。HMAC是基于哈希的消息认证代码.数字签名是加密的散列中的一些消息。
• 身份验证-因为HMAC使用对称密钥，而数字签名使用非对称私钥。秘密/私钥只能与知道它=身份验证的人一起使用。在HMAC中检查接收方的秘密/私钥--接收方也知道秘密，这就是为什么我们称之为对称的原因。在数字签名中检查接收方的秘密/私钥--接收者也获得公共证书，该证书可以在可信的第三方上进行检查。

主要区别- HMAC消息不能被第三方检查/验证，只有知道秘密的人才能验证/验证消息。数字签名消息具有公共证书，任何人都可以通过对附加公钥的消息进行解密、计算散列和在特殊可信侧检查公钥来检查消息所有者。

结论-使用HMAC，如果您不需要任何人能够检查，是一些信息真正属于发件人。

类似地，哈希请求并在我的服务器上验证它是否足够？

不是的。中间的人可以修改您的消息并附加修改后的消息的散列。哈希提供了完整性，这意味着消息修改也会改变哈希，但是黑客不用担心哈希相等，因为他只是完全用内容和哈希替换了消息！HMAC中的一些秘密用法阻止了这样的消息替换:中间人仍然可以更改消息，但是他无法重新计算哈希，因为他不知道秘密。