如何使用SSL/TLS和/或消息级安全性保护RESTful php Web服务
要使用SSL/TLS和/或消息级安全性保护RESTful PHP Web服务,您需要遵循以下步骤:
- 使用SSL/TLS保护数据传输:
SSL/TLS是一种安全协议,用于在客户端和服务器之间建立加密连接。要在您的RESTful PHP Web服务中使用SSL/TST,您需要:
a. 获取SSL证书:您可以从证书颁发机构(CA)购买SSL证书,或者使用免费的证书颁发机构,如Let's Encrypt。
b. 安装SSL证书:将SSL证书安装到您的Web服务器上。对于Apache服务器,您可以使用mod_ssl模块。对于Nginx服务器,您可以使用ssl模块。
c. 配置SSL证书:在Web服务器配置文件中配置SSL证书。对于Apache服务器,您需要在httpd.conf文件中添加以下配置:
SSLEngine on
SSLCertificateFile /path/to/your/certificate.crt
SSLCertificateKeyFile /path/to/your/private.key对于Nginx服务器,您需要在nginx.conf文件中添加以下配置:
server {
listen 443 ssl;
server_name yourdomain.com;
ssl_certificate /path/to/your/certificate.crt;
ssl_certificate_key /path/to/your/private.key;
...
}- 使用消息级安全性保护RESTful PHP Web服务:
消息级安全性是一种更高级别的安全性,它可以保护您的RESTful PHP Web服务免受中间人攻击和篡改。要在您的RESTful PHP Web服务中使用消息级安全性,您需要:
a. 使用HTTP签名:HTTP签名是一种用于验证请求的身份和完整性的机制。您可以使用诸如OAuth、AWS Signature Version 4等HTTP签名方案。
b. 使用数字签名:数字签名是一种用于验证消息的身份和完整性的加密技术。您可以使用PHP的openssl扩展来实现数字签名。
c. 使用加密算法:加密算法是一种用于保护数据的加密技术。您可以使用PHP的openssl扩展来实现加密算法,如AES、RSA等。
总之,要使用SSL/TLS和/或消息级安全性保护RESTful PHP Web服务,您需要遵循以上步骤。这将确保您的Web服务具有高度的安全性和可靠性。
相关·内容
我有一个用php编写的RESTful web服务,它使用JSON进行通信。传输的一些数据是非常敏感的(密码),我正在寻找一种方法来实现一个合理的安全级别的服务。客户端是silverlight 4应用程序。
我一直在寻找关于如何实现SSL/TLS的明确信息(我假设客户端证书身份验证属于这一类?)和消息级安全性,但是我找不到关于在php+json web服务中实际实现这些安全措施的好例子。如果有任何信息和实际例子,我将非常感激。我知道这些原则,我只是对php不是很有经验。目前,我拥有的唯一安全措施是一个非常基本的身份验证令牌系统,它在成功登录时创建一个服务器端会话,并为用户提供任何进一步通信的身份
浏览 0提问于2011-07-06得票数 9
如何强制我的.Net应用程序使用TLS而不是SSL与某些Java服务建立连接?Web服务代理是作为标准Web引用(而不是WCF)生成的。Web是。。
一些细节:在我的.Net 4.0应用程序中,我调用了托管在JBoss & Redhat上的Java。此web服务在50%的运行中正常工作,当错误发生时,异常消息是“现有连接被远程主机强制关闭”。
当我查看与WireShark的网络通信时:
所有错误连接都是用SSL 'Hello‘建立的,并且正在重置。成功连接是用TLSv1 'Hello‘建立的
因此,强迫.Net使用TLS可以解决这个奇怪的问题。
浏览 1提问于2010-09-09得票数 2
回答已采纳
我们试图使用https协议访问托管在IIS服务器上的restful web服务资源。
当我们禁用TWO WAY SSL Auth (禁用客户端证书的服务器端验证)时,一切正常。
当IIS强制执行TWO WAY SSL (启用客户端证书的服务器端验证)时,我们将得到以下异常:
403 -禁止:访问被拒绝。
您没有使用您提供的凭据查看此目录或页面的权限。我们使用java 1.8 update 102、IIS服务器7.5和TLS 1.2作为ssl
详情请打开以下连结:
如果有人帮我们,会有很大帮助的。
谢谢!
浏览 4提问于2017-11-07得票数 0
回答已采纳
1回答
我正在构建一个只能由RESTful访问的TLS API。SSL连接应该在哪里实现?
通过RESTful API本身,我的API是用golang编写的,它可以轻松地处理SSL。
通过SSL反向代理,这里我使用的是nginx。
我更喜欢第二种方法,因为nginx更好地处理缓存和静态传递。
我现在应该实现我的API吗?在我看来,系统是安全的,只要nginx反向代理只提供SSL,并且我的API只向nginx公开。
我不确定是否有第三种方法,而我只保留我的API SSL和nginx透明地通过所有请求。
浏览 6提问于2014-11-12得票数 4
在我的客户端邮件应用程序(ThunderBird)中,我选择了使用STARTTLS的SMTP,使用SSL/TLS的POP (或POP3)。据我所知,这是为邮件内容从我的客户端应用程序到我的ISP邮件服务器。
我的问题是这个连接到邮件服务器的安全性,即ThunderBird的连接安全性下拉选项是:无身份验证、普通密码、加密密码、Kerberos / GSSAPI、NTLM和OAuth2。ThunderBird还可以探测我的电子邮件服务器,看看它能在它的终端上遵守或实现什么。我在服务器上找到的只是“普通密码”。
因此,很明显,我的电子邮件服务器没有提供加密连接,我推测我的密码可以被有足够技能的人看
浏览 0提问于2018-11-28得票数 5
我的WPF(桌面)应用程序正在调用两种服务--一种是托管在我们内部环境中的WCF服务,另一种是第三方web服务。
我的应用程序正在使用.Net Framework4.0。由于最近在组织上应用了一些windows更新,我的第三方web服务停止工作,我开始收到此错误。
"System.ServiceModel.Security.SecurityNegotiationException: Could not establish secure channel for SSL/TLS with authority 'abc.net'. ---> System.Net.Web
浏览 3提问于2020-03-06得票数 1
这个问题已经出现了很多,但我还没有找到答案。我已经阅读了OAUTH 2规范和单独的安全“注意事项”文档,但我仍然对一些东西不太清楚。
情况是:移动应用程序访问基于RESTful的web服务。我既是服务器资源( RESTful服务的创建者和宿主),也是授权机构(我存储用户的ID和密码并验证身份)。第三方公司创建使用我的服务的移动应用程序。我使用OAuth 2.0来验证用户的UserID和密码,并发出令牌。使用通过https的TLS。
带有签名消息的nonce通常用于防止重放攻击,但据我所知,这在移动应用程序中不起作用,因为要对消息签名,您需要一个共享密钥。存储在移动应用程序上的任何秘密(可以让你
浏览 0提问于2014-03-05得票数 9
为magento或PHP检查了许多博客中的双向ssl(双向身份验证),但是没有得到端到端的实现细节。
下面的
是我的理解.
让我们考虑客户端(sslclient.com)和服务器(sslserver.com),两者都将在验证ssl证书后进行通信。客户端将验证服务器证书,服务器将验证客户端证书。
当我检查apache和php curl中所需的更改时。
下面是我访问过
的博客
https://dzone.com/articles/implementing-one-way-and-two-way-ssl-mutual-authen
https://medium.com/@kasunpdh/ssl-h
浏览 0提问于2022-04-15得票数 -1
我有一个VBScript程序,它从不受我控制的服务器上检索网页。URL看起来类似于https://someserver.xxx/index.html。我使用这段代码来创建一个对象,该对象可以完成页面的以下操作:
Set objWinHttp = CreateObject("WinHttp.WinHttpRequest.5.1")
当我编写我的程序时,检索这个页面没有问题。最近,提供此页面的web服务器进行了升级。现在我的程序不能再获取页面了。
一些线索:
如果我使用浏览器(我尝试过Firefox、IE和Chrome),我可以获取网页。
线索2. VBScript代码产生这个错误
浏览 0提问于2010-12-02得票数 1
我正在决定保护Android应用程序和数据的机制。我做了一些研究,但不知道下面的解决方案是否足够。看看是否有专家能给我一些建议:
对于SQLite数据库级保护:使用SQLCipher
对于SQLite数据级保护:使用AES256加密和解密(但不知道在哪里存储密钥更好?)
对于Android数据到Web服务(PHP):使用SSL和Post方法
对于Web服务(PHP) Json到Android:使用SSL和Post方法
要防止Android APK进行重新设计:使用Proguard
要使Web (PHP)只能通过Android应用程序访问:在应用程序中硬编码一个秘密密钥,每次使用SSL将其发送到
浏览 2提问于2015-03-12得票数 0
回答已采纳
我用SSL将我的web应用程序移动到一个新服务器(IIS)。当我尝试使用https从我的新服务器向其他服务器发出web请求时,我会在不同的服务器端点上得到以下错误:
无法创建SSL/TLS安全通道。
无法连接到远程服务器。
我没改密码。我的网络应用程序在旧服务器上工作。在我的开发环境(localhost)中,我可以成功地调用HTTPS调用。
我为什么要犯这些错误?
我尝试了这些解决方案:
ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, errors)
浏览 2提问于2018-10-18得票数 0
回答已采纳
2回答
我的第一篇帖子!我想在网络服务的安全性方面得到一些社区帮助。
我正在研究web服务安全方面的最新进展。我需要解决所有的解决方案,解决有关识别,访问控制,传输相关的问题,如数据完整性,保护,不可否认。
因此,我获得了一些现实世界的解决方案来满足这些需求,我发现了基于SOAP的web服务:
识别:WS-安全框架
身份验证:可扩展访问控制标记语言(XACML)
授权
可扩展权限标记语言(XrML)
XML密钥管理(XKMS)
安全断言标记语言
.NET护照
知己
WS-安全框架
XML加密
安全套接字层(SSL)
WSS
浏览 1提问于2013-05-03得票数 4
回答已采纳
似乎任何人都可以窥探传入/传出的.NET web服务SOAP消息,只需将一个简单的SoapExtension放入bin文件夹,然后使用以下命令对其进行探测:
<soapExtensionTypes>
<add type="MyLoggingSoapExtension, SoapLoggingTools" priority="0" group="High" />
<soapExtensionTypes>
有没有办法防止加载SOAP扩展,或者在我的应用程序中(通过事件或类似的机制)询问是否可以加载SOAP扩展?
浏览 0提问于2008-09-23得票数 1
回答已采纳
1回答
火狐v39将不再通过HTTPS连接到我的web应用程序。我在使用带有嵌入式Tomcat的Spring,并且确保我使用的是最新版本的Boot (v1.2.5)。Firefox显示了以下错误消息:
安全连接失败
在连接到网站期间发生错误。SSL在服务器密钥交换握手消息中接收到一个微弱的、短暂的Diffie-Hellman密钥。(错误代码: ssl_error_weak_server_ephemeral_dh_key)
我理解这是为了防范一个名为的已知漏洞。在上提供了Tomcat的解决方案。
Spring通过将SSL配置传递给Tomcat,因此我将server.ssl.ciphers添加到s
浏览 5提问于2015-08-07得票数 3
回答已采纳
我在WCF4.0上,我有一个.NET服务,它实现了两个契约,一个有保护级别,另一个没有保护。两者都在操作和ReplyAction中指定"*“值。
现在,如果我在网站项目中配置此服务,一切正常,但是如果我在Web应用程序项目中配置相同的服务,如果我尝试在浏览器中查看默认终结点的服务页面,我收到错误消息“请求消息必须受到保护,这是协定的操作('IContractSigned',')所必需的。保护必须由绑定('BasicHttpBinding',')提供。”
网站项目和Web应用程序项目都具有相同的web.config。
现在我正在尝试调查,但
浏览 0提问于2011-07-19得票数 2
如果我们已经有了SSL / TLS,我们在客户端和服务器之间的http请求和响应中发送的加密数据是否有任何附加值?
我得到的SSL/TLS已经加密通过传输层的SSL/TLS连接的流量,但如果我们想要防止浏览器用户读取请求和响应数据,在发送之前加密它会在阻止用户读取它方面有什么价值吗?
例如,我可以转到Network -> XHR requests ->,查看客户机和服务器之间正在传输哪些数据。
浏览 0提问于2020-06-20得票数 0
我在yii2工作,收到以下警告
routines:SSL3_GET_SERVER_CERTIFICATE:certificate操作失败,代码1。OpenSSL错误消息:错误:14090086: SSL OpenSSL验证失败
在尝试以下列方式获取图像mime类型时,
$image_mime = image_type_to_mime_type(exif_imagetype(\yii\helpers\Url::home(ssl) . $promoBanner));
这是在我们在临时服务器上配置ssl之后开始发生的。有人有主意吗?
我们的暂存服务器还运行在Amazon上,我们有2个实例1用
浏览 4提问于2017-03-27得票数 1
回答已采纳
在使用SSL的情况下,据我所知,证书服务器有一个主密钥和一个公钥,并将其发布到所有客户端。因此,在这种情况下,当消息被公钥加密(在客户端)时,只有私钥的所有者(在本例中是服务器)才有能力解密它。
但我不明白这是如何运作的,我的意思是,当消息被私钥加密时,是否意味着拥有公钥的人可以解密它?这意味着只有发送给服务器的消息才是安全的,来自服务器的消息可以被任何具有公开密钥的人读取。
更新:
在我的例子中,我有DMZ主机多个web服务(WCF)中的web服务器,客户端是非服务器应用程序(它们是独立的.NET应用程序),使用https协议通过internet访问这些web服务。
我的服务器拥有Vers
浏览 0提问于2015-05-11得票数 1
1回答
我是关于的
当我使用Twilio启动电话,然后拿起电话时,我可以听到错误发生,出现在我的警报仪表板上。
但是,证书位于mozila证书程序中,我可以在找到证书。我不使用自签证书。
一旦我在Twilio控制台帐户设置中禁用了SSL证书验证,问题就消失了。
我从qualys实验室得到的结果是:
摘要:
此服务器易受贵宾犬攻击。如果可能,禁用SSL 3以减轻影响。等级上限为C。
此服务器接受RC4密码,但只接受较旧的协议。等级上限为B。
服务器不支持对引用浏览器进行前向保密。
此服务器的证书链不完整。等级上限为B。
Configuration:
SSL 3不安全
浏览 0提问于2017-07-24得票数 0
回答已采纳
我正在编写一个rails应用程序,其中我必须发送电子邮件(密码重置/联系表格等)。我可以让邮件在不使用SSL/TLS的情况下工作,但是对于SSL/TLS,它总是导致超时。
我的问题是,不使用SSL/TLS有多不安全?如果我的rails应用程序和邮件服务器位于同一台计算机中,那么使用SSL/TLS不是问题吗?使用SSL/TLS不意味着只有我的rails应用程序和邮件服务器之间的通信不安全,但是邮件服务器和收件人之间的通信仍然是安全的吗?
供您参考,以下是我的铁路邮件配置。你觉得这有什么不对吗?
config.action_mailer.delivery_method = :smtp
co
浏览 3提问于2014-05-20得票数 1
可能重复:
谁能解释Restful web服务和WSDL(Web服务和描述语言)之间的区别。哪一个更安全?如何更安全?
谢谢
浏览 0提问于2012-03-06得票数 0
我在我的JBoss EAP6.1服务器上配置了一个简单的HTTPS连接器,用于RESTful连接到我正在处理的一组RESTful web服务。我不确定JBoss EAP6.1是否附带了TLS1.2(或SSL3.2,因为我认为TLS实际上只是更晚版本的SSL),但我想使用该版本或更高版本。
如果处理此连接器的JBoss文件标记看起来如下所示,默认的SSL版本的SSLEAP6.1是什么?
<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding=&
浏览 2提问于2014-05-15得票数 2
2回答
我需要升级SSL/TLS/OpenSSL。服务器是RHEL 6 Enterprise。
在该服务器中,我将删除apache,因为它已经很长时间没有使用了。卸载apache之后,是否仍然需要升级ssl/tls/openssl?
或者更广泛地说,因为既不会安装web服务器,也不会安装web浏览器,那么根本没有必要安装OpenSSL吗?
浏览 0提问于2015-09-04得票数 2
回答已采纳
当我尝试使用php的imap函数时,我无法连接到Gmail的imap服务器。我使用的是:
$mail = imap_open('{imap.gmail.com:993/imap/ssl/novalidate-cert}INBOX', '******@gmail.com', '******') or die('Cannot connect to Gmail: ' . imap_last_error());
它返回以下消息:
无法打开/blabla/ {imap.gmail.com:993/imap/ssl/novalidate-ce
浏览 2提问于2016-05-06得票数 0
假设我们有web和应用服务器,并试图为我们的金融web应用程序加密信用卡信息。web和app服务器之间的通信通过SSL/TLS进行保护。让我们说,加密的数据是需要在web服务器,将发送到应用服务器的安全。这两种方法之间是否有区别:
从应用服务器(从HSM获取密钥)获取加密密钥,并对web服务器中的数据进行加密。
将非加密数据发送到应用服务器,应用服务器使用从HSM获得的密钥对数据进行加密,并将其返回给web服务器。
有关环境
的详细信息
我们正在尝试为我们的虚拟POS应用程序实现PCI证书.Web服务器向internet开放,外部通信也是安全的(SSL)。应用服务器包含业务逻辑,并且仅由web
浏览 0提问于2016-05-18得票数 3
回答已采纳
1回答
我看到了下面的链接,它解释了如何保护rest api。(使用公钥以及请求参数和私钥的HMAC(散列))。
我还在stackoverflow中看到了这个链接,它讨论了使用spring的rest api安全性
我在oracle weblogic网站上看到了这个链接,它讨论了使用web.xml或安全上下文等的restful api安全性
这些方法是不同的还是相关的?我也找不到任何真正做握手的代码,我完全迷惑了。请帮帮忙。
浏览 3提问于2012-06-14得票数 4
1回答
使用PHP中的curl,当我试图连接到沙箱时,我得到了这个输出:
即将连接()到sandbox.itunes.apple.com端口443
尝试17.152.19.192..。*连接
连接到sandbox.itunes.apple.com (17.152.19.192)端口443
成功设置证书验证位置:
CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath:无
SSL证书问题,请验证CA证书是否正常。详细信息:错误:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certifi
浏览 8提问于2012-12-02得票数 0
回答已采纳
1回答
我刚刚开始使用SOAP web服务,偶然发现了web服务的安全性。
基于下面的用例,我需要知道两件事:
假设有一个web服务,它接受国家名称作为请求,并返回状态列表作为响应。
根据我上面的简单用例,什么是传输级安全性和消息级安全性。它们有什么不同?
浏览 0提问于2018-02-01得票数 1
1回答
只是想知道:我和我使用的Jabber服务器之间的整个流量是加密的,还是只有登录和密码?考虑到服务器支持加密,并且我的IM客户机被配置为请求加密。
如果所有流量都使用SSL/TLS加密,请说明通常使用哪种加密算法(非对称加密用于密钥交换,对称加密用于聊天)。
当然,我使用OTR进行点对点加密,但仍然在Jabber/XMPP中的SSL/TLS中徘徊。
浏览 0提问于2013-10-27得票数 3
最近,我为我的网站设置了SSL证书。在、Chrome、和Mozilla 中,一切都运行良好(使用https),但是在Internet (IE)和Safari中,网站根本不开放。下面(请检查图片URL)是我看到的错误,当我试图打开网站。
我在我的.htaccess中设置了从http重定向到https,但我不认为这是问题所在。
SSL是正确设置的,我已经检查了多个在线SSL检查器,SSL证书也包括www.website.com和website.com。
我的服务器的其他细节包括
PHP: 5.5.29
Apache : Apache2.4.6 CentOS
OpenSSL : Ope
浏览 4提问于2015-10-15得票数 1
回答已采纳
1回答
无状态令牌Auth安全性
、、、
我是ReST新手,正在以标准方式在移动web应用程序中实现ReSTful令牌身份验证,尝试使用Django-Rest-Framework。
客户端发送凭据
服务器验证并发送令牌和过期日期。从db删除令牌
当用户发出请求而令牌即将过期时,客户端调用刷新令牌
在客户端请求时,服务器验证令牌签名。
在过期的令牌上,移动应用程序将用户注销。移动应用程序检查过期而不是服务器
我决定让移动应用程序检查到期日期,因为我读取的是ReSTFul,而服务器检查它需要它存储令牌,而不是ReSTful。
关于上述实现,我有几个安全问题:
1)无论发生多少令牌刷新,获取一个令牌是否都能使攻击
浏览 0提问于2016-01-10得票数 0
回答已采纳
当我可以实现WCF服务的传输/消息加密时,我为什么需要SSL端口。
我的意思是消息会被加密。那么为什么要有SSL加密端口呢?
浏览 0提问于2012-09-29得票数 0
我们在后端的服务器上有一个使用Algolia PHP客户端1.17版的PHP web应用程序。Algolia很快就会完全弃用TLS 1.0和1.1。 我如何知道PHP后端使用哪个TLS版本来联系Algolia?这是严格意义上的web服务器配置问题,还是需要升级SDK?
浏览 25提问于2020-10-01得票数 0
回答已采纳
1回答
WCF设置绑定保护级别?
、、、
在WCF中,ProtectionLevel是一个相当重要的概念。保护级别控制如何/如果消息被加密和签名。
据我所知,设置保护级别的唯一方法是将属性应用于代码,而设置属性的最大范围是在服务契约接口上使用ServiceContract属性。
例如,将服务契约接口代码分发给第三方的情况。也就是说,您向第三方提交了包含以下内容的*.cs文件:
// inside this attribute is where you put ProtectionLevel = ...
[ServiceContract(Namespace = "some:name:space")]
public int
浏览 3提问于2017-02-28得票数 3
回答已采纳
3回答
我正在使用Apache构建一个简单的博客网站,并遵循HowTo在我的服务器上启用SSL/TLS:http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html
为了这个网站的目的,最好的做法是获得一个CA可信的证书?
在服务器上启用SSL/TLS并使用自签名证书的操作是否会提高安全级别,而不是只使用HTTP或不使用CA的SSL/TLS?
任何反馈都会很感激,以获得更多的理解。
浏览 0提问于2016-12-28得票数 0
回答已采纳
我们正在运行一个为我们的客户使用自定义子域名的PHP站点,因此我们在Apache (版本2.2.3)中实现了一个带有通配符VHost的通配符SSL证书。这些子域PHP web应用程序还在我们的REST和RPC API的两个URL前缀后面使用到金字塔web应用程序的反向代理。
我们还有一个在金字塔上运行的管理界面。我们通常会简单地将代理反向到管理界面,但我似乎不能对这两个虚拟主机使用通配符SSL证书。我做错了什么?
下面是我们的vhost配置:
NameVirtualHost *:443
<VirtualHost *:443>
ServerName example.com
浏览 0提问于2012-04-10得票数 1
我在Azure Service Bus中使用代理消息传递(主题/订阅),我很好奇如何(或是否)使用SSL保护通信。
我使用连接字符串发送和接收消息:
var connectionString = CloudConfigurationManager.GetSetting("Microsoft.ServiceBus.ConnectionString");
var Client = TopicClient.CreateFromConnectionString(connectionString, "TestTopic");
Client.Send(new Brokere
浏览 1提问于2013-04-17得票数 0
1回答
从我读过的关于REST与JAX-WS的所有资源中,建议在需要更高级别的安全性时使用JAX-WS。
如果是这样的话,我很好奇为什么PayPal使用REST web服务。转账是一种需要很高安全性的交易。有没有人能对此发表意见?
编辑:如果使用SSL,那么JAX-WS与REST相比有什么样的“安全契约”?
浏览 1提问于2015-03-16得票数 0
4回答
我读了一篇关于WCF安全实现的文章,发现有两种类型的安全:Transport Mode and Message Mode (or both)
如果我使用HTTPS作为传输模式,如果我也使用邮件安全性,它是否更安全?我之所以这样问,是因为我的理解如下:
https使用SSL协议对消息进行加密...那么为什么我要添加message Security并对SSL加密的消息进行加密呢?还是我误解了什么?
浏览 0提问于2011-04-15得票数 50
回答已采纳
1回答
TLS允许客户端证书用于初始化到服务器的TLS连接。然而,可以通过以下方式实现这一目标:
将TLS连接初始化为具有随机生成私钥的匿名客户端。
服务器在web表单或HTTP报头上提供一个随机数作为挑战。
客户机(例如浏览器)使用私钥(通过window.crypto javascript )生成一个RESTful API调用,通过签名挑战和提供证书来标识自己到服务器。
这两种方法:客户端证书和javascript调用在安全性方面是相同的吗?
这个问题背后的场景是,我们正在使用块链公钥来建立TLS连接。由于没有由权威机构签名的客户端证书,因此客户端提供了Merkle树路径作为证明。
显然,HTTPS
浏览 0提问于2018-06-19得票数 1
回答已采纳
1回答
假设我在web服务器中运行了一些PHP代码,例如,运行一个简单的CakePHP应用程序。从这个应用程序,我想偶尔建立一个TLS连接到某个服务器,以交换一些数据。这通常是怎么做到的?(我对PHP几乎没有经验。)
建议使用什么PHP插件或库或其他什么来完成TLS连接?哪里有好的地方可以开始找呢?(我最初的谷歌搜索给了我巨大的噪音和信号比。)
在web服务器上放置X509私钥涉及哪些安全问题?为了建立一个TLS连接,我需要X509证书和相应的私钥,比如PEM文件,DER文件,或者Java,等等。那把私钥会被放在某个易受攻击的网页根目录下吗?这通常是如何处理的?具体而言,保护要用于建立TLS连接的私钥
浏览 6提问于2010-06-30得票数 5
回答已采纳
我将开发一个银行应用程序,将发送和接收信息到银行账户持有人的移动设备。我想使用Spring框架的REST api来实现这个目的。是否有使用RESTful api进行应用的银行?RESTful应用程序接口是否提供了足够的安全性来实现此目的?或者我应该坚持使用SOAP web服务?我知道,这个问题已经被问了好几次了。但我想集中讨论REST api在银行领域的可行性。
浏览 2提问于2015-03-30得票数 2
我们目前有应用层(例如S-HTTP、DNSSec、PGP等)、传输层(例如SSH、TLS、SSL等)的安全协议。以及网络层(例如IPSec)。
为数据链路层创建安全协议有意义吗?
浏览 0提问于2017-06-06得票数 0
回答已采纳
我正在用Pylons框架在Python中构建一个RESTful应用程序接口,为它提供Apache2和mod_wsgi服务,并希望将其连接到iPhone应用程序。我几乎没有使用HTTPS、SSL和证书颁发机构的经验,我想知道如何保护我的API。
如何确保API是通过HTTPS提供的?是否有必要像在示例中那样设置SSL证书?如果我通过iOS不认可的机构(例如,CACert.org,主要是因为它是免费的)签署SSL证书,这是否会影响我的应用程序与服务器通信的能力?其他人如何解决基于web的RESTful应用程序接口和iPhone应用程序之间的安全通信问题?
另外,OAuth如何适应这一切呢?
浏览 0提问于2011-12-02得票数 1
回答已采纳
1回答
我对保安完全是个新手,所以请原谅我说错了什么。
我得发展一个社交网络。客户端将是一个Android应用程序,(可能)是智能手机使用REST的网页。由于社交网络的特点,如果用户的信息被窃取,这不是很重要,但是,我必须通过用户名/密码登录来识别每个用户,我必须确保每条消息都来自合法用户。
我不想使用SSL (TLS),因为我没有太多的资源,所以我不想忍受SSL的延迟,也不想支付证书的费用。那么,使用OAuth来保护REST是个好主意吗?有什么更好的方法吗?
浏览 0提问于2013-10-30得票数 2
1回答
安全证书
、、、、
我正在开发一个android应用程序,它从web服务中获取一些数据,这也是我用PHP编写的。现在,我想让我的android应用程序和我的web服务之间的连接足够安全,这样就不会有人插手。我真的不知道该往哪个方向走。我是否应该使用SSL和一些证书机制。请指导我该怎么做
谢谢!
浏览 1提问于2014-02-11得票数 0
我一直在使用Boost在C++上开发一个SSL服务器/客户端。要加载证书,我对每一方使用以下代码:
server.cpp
boost::asio::ssl::context ssl_context(boost::asio::ssl::context::tls);
ssl_context.use_certificate_chain_file("server.crt");
ssl_context.use_private_key_file("server.key", boost::asio::ssl::context::pem);
ssl_context.use_t
浏览 0提问于2021-02-25得票数 1
回答已采纳
1回答
我试图连接到需要在调用服务的机器上安装相关证书的web服务。我已经安装了证书,但是当我试图将这个web服务添加到我的Asp.Net MVC项目时,我会得到以下错误:
下载‘$元数据’时出错。请求被中止:无法创建SSL/TLS安全通道。元数据包含无法解析的引用:“.”。无法通过权限“MyServiceDomain”为SSL/TLS建立安全通道。请求被中止:无法创建SSL/TLS安全通道。如果在当前解决方案中定义了服务,请尝试构建解决方案并再次添加服务引用。
我可以使用浏览器获取WSDL文件,并使用它创建客户端类,但我不能使用Visual添加对此web服务的引用并获得上述错误消息。
浏览 1提问于2019-12-23得票数 1
当自定义TLS扩展添加到客户端Hello时,web将响应"ERR_SSL_DECRYPT_ERROR_ALERT“。web服务器正在与Apache一起运行。是否有在服务器端定义自定义扩展的指南。
浏览 12提问于2022-04-29得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
云直播活动推荐
腾讯云开发者
