從客戶端到Node.js服務器的安全HTTPS連接
[英]Secure HTTPS connection to Node.js server from client
問題描述
我正在為使用Node.js處理HTTPS請求的移動應用程序開發后端。 我已經建立了一個SSL來從客戶端連接到服務器,並且想知道這是否足夠安全。
我沒有從移動設備攔截端點的經驗,但是我已經看到人們可以從手機監視互聯網流量並提取端點以處理服務器請求。 我在tinder上看到過駭客,人們可以通過將HTTP請求發送到tinder的端點來查看響應JSON,甚至自動進行刷卡操作。
我真正關心的是人們將能夠在我的后端上更新/讀取/修改數據。 我也可以在自己的架構中實現OAuth2,但仍然可以看到有人濫用該系統的情況。
我的主要問題是使用HTTPS是否足夠安全以保護我的數據,或者是否需要像OAuth2這樣的會話身份驗證系統。
謝謝。
3 個解決方案
解決方案1
0 2016-07-19 15:11:32
您正在兩個開放領域之間建造一條裝甲隧道。
假設您使用當前的SSL協議和設置以及來自受信任的頒發者的有效證書,則幾乎可以假設網絡正常。
但是,仍然有可能完全破壞來自客戶端的任何或所有交易。 安全性實際上取決於設備以及其配置和打補丁的程度。
解決方案2
0 已采納 2016-07-19 20:04:15
如果正確配置了HTTPS,它將確保在途中未讀取或更改消息,並且客戶端可以知道與之通信的服務器不是偽造的。
它將確保運輸安全。 它不會保護應用程序。
例如,假設您有一個應用程序,該應用程序允許您發送一條消息,內容為https://www.example.com/transfermoney?from=Kyle&to=BazzaDP&amount=9999.99 ,服務器將根據這些參數執行此操作。 然后,我可以自己發送該消息-無需攔截任何應用程序消息。
通常,服務器需要身份驗證以及HTTPS,例如,僅驗證Kyle用戶可以發送上述消息,而不能驗證其他任何人。 HTTPS通常僅提供服務器身份驗證而不提供客戶端身份驗證(除非使用雙向證書HTTPS)。
因此,問題是,即使攻擊者無法讀取或更改應用程序與服務器之間的任何消息,它們是否仍會造成危害? 這是它是否足夠安全的度量。
解決方案3
-1 2016-07-19 15:01:28
SSL連接僅對您發送的內容是安全的。
SSL加密並確保整個連接的真實性,包括請求的方法和URL
因此,我想說的是,僅使用SSL加密即可保存之間的數據傳輸-我可能會考慮使用OAuth2作為密碼等。
但我建議使用GET來檢索數據並發布以獲取授權數據
在node.js服務器和jQuery客戶端之間建立安全連接
[英]Setting up a secure connection between a node.js server and a jQuery client
使用Python客戶端和Node.js服務器保持套接字連接活動
[英]Keeping socket connection alive with Python client and Node.js server
在建立安全 TLS 連接之前客戶端網絡套接字斷開 Node.js v13.0.1
[英]Client network socket disconnected before secure TLS connection was established Node.js v13.0.1
Node.js 中的獲取請求失敗(在建立安全 TLS 連接之前客戶端網絡套接字已斷開)
[英]Fetch request failing in Node.js (Client network socket disconnected before secure TLS connection was established)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何使用https.js創建Node.js安全服務器?
在node.js服務器和jQuery客戶端之間建立安全連接
在連接node.js上從客戶端向服務器發送消息
Node.js HTTPS安全錯誤
從Node.js服務器到PHP服務器的安全文件上傳
Node.js中的HTTPS服務器
使用Python客戶端和Node.js服務器保持套接字連接活動
在建立安全 TLS 連接之前客戶端網絡套接字斷開 Node.js v13.0.1
Node.js 中的獲取請求失敗(在建立安全 TLS 連接之前客戶端網絡套接字已斷開)
Node.JS + HTTPS + Client Cert =問題
相關標簽