ポストデータ改ざん検出
モバイルレストサーバーを安全にする方法について、セキュリティについて少し勉強しています。プレーンHTTPを使用する1つのモバイルアプリケーションを見ています。
Charlesプロキシブレークポイントを有効にして、サーバーに送信する前に投稿データを編集します。たとえば、「リクエスト」を
[{"func":"HeartBeat","time":1475481665} ]
に
[{"func":"HeartBeat","time":1475481777} ]
「署名が間違っています」という応答がありました。そもそも「リクエスト」データが改ざんされたことをサーバーはどのようにして知ったのでしょうか。
私が知っているのは、セッションが現在のユーザーであること、署名とリクエストが何らかの形で接続されていることです。リクエストデータを編集するときに、新しい署名を生成する必要があると思います。
セキュリティを確保する1つの方法は、クライアントに要求の メッセージ認証コード を作成してから、データとともにMACを送信することです。サーバーはMACを再作成し、送信されたものに対して検証します。
これはおそらく、「署名」を使用した例で起こっていることです。