HTTPS双向认证基础上有无必要再进行加签验签？

myspaspring 2017-06-22 10:44:57

企业系统直联通讯，在HTTPS双向认证的基础上进行通信，请问是否还有必要对关键字段额外加签验签？涉及账务，安全相关，求有相关经验的人解答指点！

...全文

149 回复打赏收藏转发到动态举报

写回复

回复

切换为时间正序

请发表友善的回复…

发表回复

密钥库使用过程中除了用于加解密外，还用于程序访问控制认证和签名验签，常见的两个场景问题如下：1、对于密钥库中用户认证以及签名验签的属性配置参数的问题2、密钥库中细粒度访问控制和普通访问控制的使用问题，以及在访问控制中进行签名验签使用问题1、对于密钥属性的使用，创建的每个密钥对的目的不同，也决定了他的使用方式，例如：加签验签的密钥，不可以用于加解密。

最近在对接民生银行的电子账户接口，按照民生的要求，调用接口需要涉及 SM2 国密算法及 SSL 双向认证。目前银行端提供的只有 JAVA 版的 SDK，把 PHP 作为开发语言的我们表示很受伤。本文就针对涉及的两个点进行说明，简单汇总下 PHP 语言中的解决方案。1、SM2 国密算法针对接口请求参数的加密加签及响应数据的解密验签操作，民生银行的要求如下：对数据进行 PKCS#7 带原文签名，并将签...

加密类型：对称加密：DES，AES 非对称加密：RSA，ECC 对称加密的概念用一个加密和解密的Key是相同的。属于可逆运算非对称加密加密和解密是不同的Key，属于不可逆运算，一般叫做公钥和私钥。公钥一般用来加密，私钥用来解密。私钥用来签名，私钥用来验签。常规问题：是否可以用私钥加密，公钥解密，公钥签名，私钥验签？先告诉大家，答案是可以的。签名 = 原始数据计算Hash + 用私钥对Hash进行RSA加密所以，本质上来说，签名，其实就是用私钥加密，反过来当然也是成立的，

HTTPS接口加密和身份认证对HTTPS研究有一段时间了，在这里写下一些收集的资料和自己的理解。有不对的地方希望斧正。1.为什么要使用HTTPS代替HTTP1.1HTTPS和HTTP的区别 https协议需要到CA申请证书，一般免费证书很少，需要交费。 http是超文本传输协议，信息是明文传输，https则是具有安全性的SSL加密传输协议。 http和https使用的是完全不同的连接方式，用的端口

非对称加密通过上述流程，数字信封结合对称密钥加密技术，既保证了消息内容的安全传输（通过对称密钥加密），又解决了密钥分发的安全问题（通过非对称加密保护对称密钥），是一种在实际应用中广泛采用的混合加密方案。通过这种方式使用JWT来进行邮箱验证不仅简化了传统基于数据库查询的验证方式，同时也增强了安全性，因为它减少了直接暴露敏感信息的风险。不过需要注意的是，为了确保系统的安全，必须妥善保管好用于签署和验证JWT的密钥。此外，合理设置JWT的有效期也是很重要的，太短可能导致用户体验不佳，而太长则可能增加安全风险。

87,993

社区成员

224,694

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章