我正在开发一个接受 API 令牌的应用程序。为了更安全,我想要求客户端(用户或其他应用程序)使用其私钥加密 API 令牌,以便我可以使用客户端的公钥在 Apache 反向代理上解密该令牌并转发给 Tomcat。
我这里有一些问题:
- 如何通过公钥解密 Apache 中的标头?
- 我如何强制我的 Apache 仅接受基本身份验证 (Basic Auth) 或仅接受 Bearer 身份验证 (Bearer Auth)?
答案1
不。
使用 TLS 确保令牌在传输过程中是安全的。无需担心进一步保护它,因为它有可供客户端和服务器使用。添加客户端加密不会提高安全性,但需要维护额外的代码,而且收益很少甚至没有。