तो मैं अभी मोबाइल ऐप पर काम कर रहा हूं जो डीजेगो के साथ निर्मित एक आरईएसटी एपीआई के लिए अनुरोध कर रहा है।पहली बार जब मैं इसे उत्पन्न करता हूं, तो मैं अपने मोबाइल ऐप की गुप्त कुंजी को सर्वर के साथ कैसे साझा करूं?
एपीआई को सुरक्षित करने के लिए मैं एक निजी/सार्वजनिक कुंजी जोड़ी प्रमाणीकरण प्रणाली का उपयोग करने की योजना बना रहा हूं। फेसबुक
- उपयोगकर्ता के लॉग:
कार्यप्रवाह मैं बाहर सोचा है कुछ इस तरह चला जाता है सर्वर और ऐप ताकि सर्वर किसी विशिष्ट उपयोगकर्ता को उस निजी कुंजी को मैप करना जानता हो।
- हर बार मोबाइल ऐप अनुरोध करता है कि ऐप अनुरोध पैरामीटर और निजी कुंजी का उपयोग करके एचएमएसी/हस्ताक्षर उत्पन्न करता है। एचएमएसी के अलावा ऐप भी उपयोगकर्ता के उपयोगकर्ता_आईडी भेजता है जिसने इसे भेजा (यह सार्वजनिक कुंजी के रूप में कार्य करेगा)।
- जब सर्वर अनुरोध प्राप्त करता है तो यह अपना स्वयं का एचएमएसी उत्पन्न करता है। यह user_id लेता है और एक टेबल में निजी कुंजी देखता है। निजी कुंजी का उपयोग करके यह अनुरोध पैरामीटर के साथ एचएमएसी को दोबारा शुरू करता है और इसे एचएमएसी से तुलना करता है जिसे मोबाइल ऐप भेजा जाता है। यदि सर्वर और मोबाइल एचएमएसी से मेल खाते हैं तो यह अनुरोध करता है।
अब मेरी समस्या चरण 3 में निहित है जहां निजी कुंजी को किसी भी तरह मोबाइल ऐप और सर्वर के बीच साझा किया जाना है। मैं सुरक्षित रूप से निजी कुंजी कैसे भेज सकता हूं?