我目前有一组 Web 服务,它们向各种不同的客户端类型和角色公开接口。身份验证通过公钥/私钥对 (RSA) 进行处理,仅用于验证 HTTP 标头中作为签名的 URL。
此时 HTTP 主体未加密(我使用 2048 位私钥/公钥,这只允许我加密少量信息),因此 RSA 不够安全,因为服务器无法再向自己证明没有中间人。我也可以加密 HTTP 主体,但是性能怎么样?
我的问题是:在这种情况下,建议使用哪些技术来防止 MITM 攻击?
我目前有一组 Web 服务,它们向各种不同的客户端类型和角色公开接口。身份验证通过公钥/私钥对 (RSA) 进行处理,仅用于验证 HTTP 标头中作为签名的 URL。
此时 HTTP 主体未加密(我使用 2048 位私钥/公钥,这只允许我加密少量信息),因此 RSA 不够安全,因为服务器无法再向自己证明没有中间人。我也可以加密 HTTP 主体,但是性能怎么样?
我的问题是:在这种情况下,建议使用哪些技术来防止 MITM 攻击?