V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
FingerLiu
V2EX  ›  问与答

Is HMAC over SSL over killed?

  •  
  •   FingerLiu · 2018-04-26 10:52:46 +08:00 · 1792 次点击
    这是一个创建于 2403 天前的主题,其中的信息可能已经有所发展或是发生改变。

    注意到不论是 AWS 还是 阿里,腾讯,在调用其 API 的时候,即使已经强制 HTTPS, 仍然要求使用 HMAC 签名。 请问这样做的目的是什么?为了包含客户端的 secret key 吗

    4 条回复    2018-04-26 16:43:57 +08:00
    BOYPT
        1
    BOYPT  
       2018-04-26 11:31:20 +08:00
    HTTPS 解决的是通信加密,又不能解决身份校验。使用 HMAC 校验确保了只有合法用户的 key 在合法的时间内能访问合法的 api。
    hoyixi
        2
    hoyixi  
       2018-04-26 13:19:54 +08:00
    这样说吧,你找了 10 个保镖坐着防弹汽车去银行取钱( https 保证传输过程安全),然而,你忘记了银行帐号和密码,有卵用吗?
    lsylsy2
        3
    lsylsy2  
       2018-04-26 14:02:50 +08:00
    @BOYPT
    @hoyixi
    我猜 LZ 的意思是,既然用了 HTTPS,那么为啥不直接传明文密码
    答案是可行的但是不好。因为可能泄露的不一定只有 HTTP ( S )传输过程,还可能有系统内部的一个模块之类(某个模块所在服务器被黑),HMAC 能非常有效的控制泄露程度
    FingerLiu
        4
    FingerLiu  
    OP
       2018-04-26 16:43:57 +08:00
    @BOYPT 懂了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1051 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 19:29 · PVG 03:29 · LAX 11:29 · JFK 14:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.