注意到不论是 AWS 还是 阿里,腾讯,在调用其 API 的时候,即使已经强制 HTTPS, 仍然要求使用 HMAC 签名。 请问这样做的目的是什么?为了包含客户端的 secret key 吗
1
BOYPT 2018-04-26 11:31:20 +08:00
HTTPS 解决的是通信加密,又不能解决身份校验。使用 HMAC 校验确保了只有合法用户的 key 在合法的时间内能访问合法的 api。
|
2
hoyixi 2018-04-26 13:19:54 +08:00
这样说吧,你找了 10 个保镖坐着防弹汽车去银行取钱( https 保证传输过程安全),然而,你忘记了银行帐号和密码,有卵用吗?
|
3
lsylsy2 2018-04-26 14:02:50 +08:00
|