使桌面客户端能够与 Web 应用程序通信的安全方法

Question

接下来，我想构建一个桌面客户端、iPhone 应用程序等，以便与我现在正在开发的 Web 应用程序进行交互。我目前正在努力将身份验证层添加到应用程序中，并努力牢记这些未来的计划。设置此功能的最佳方法是什么。我一直在阅读有关保护 API 的内容，并且我读到的很多内容都建议使用公钥和私钥。这是正确的使用方法吗？在我看来，这不是正确的方法，因为用户要做的第一件事就是登录，此时我必须将私钥发送到看起来不太私密的应用程序。

Answer 1

公钥和私钥是正确的方法。您的应用程序或服务器从不发送其私钥。仅公开密钥。过程如下：

1. 您的应用程序使用服务器的公共
   加密数据并发送的密钥
2. 数据可以被加密的唯一方式
   解密是通过使用服务器的私钥进行的，因此只有服务器可以读取它。
3. 服务器使用应用程序的公钥加密数据并发送。
4. 解密数据的唯一方法是使用应用程序的私钥，因此只有应用程序可以读取它。

我建议您阅读有关公私密钥通信如何工作的更多信息。我会尽力提供一个好的入门书的链接。

编辑：维基百科关于此事的文章实际上相当不错。