لطفا اجازه دهید من می دانم که آیا این سوال برای stackoverflow مناسب تر است
اجازه دهید صحنه را با دو سرور تنظیم کنیم:
- یک سرور "auth" که به کاربران تابلوهای مجوز حاوی ادعاهای مربوط به حساب آنها را می دهد
- سرور "paywall" که پس از دریافت پرداخت از یک کاربر ، درخواستی را به سرور auth ارسال می کند تا ادعای "حق بیمه" را به حساب کاربر اضافه کند (و همچنین این سرور می تواند محتوای محدود شده را برای کاربرانی که ادعای خود را دارند) ارائه دهد. [19659005] هر دو سرور به یک کلید مخفی مشترک دسترسی دارند ، بنابراین سرور paywall می تواند ادعای کاربر را برای مشاهده محتوای محدود
تأیید کند. من می خواهم تأیید کنم که هر گونه درخواست-تغییر درخواستی که سرور auth دریافت می کند در واقع از طرف مورد اعتماد من است. سرور paywall
فکر من این است که سرور paywall باید هر درخواستی را که به طور کلی تغییر می کند در یک JSON Web Token امضا کند ، به گونه ای که سرور auth بتواند هویت فرستنده را تأیید کند و همچنین تأیید کند که هیچ کدام از این موارددرخواست در این مورد با
دستکاری شده است ، به نظر می رسد که کل بدنه درخواست فقط یک توکن بزرگ JSON Web (به جای یک هدر مجوز صرف) باشد زیرا من نمی توانم به اطلاعاتی که در آن امضا نشده اعتماد کنم. JWT
سؤال من این است: آیا این استدلال معنی دارد یا این بیش از حد است؟ آیا راه حل من زائد است؟ شاید HTTPS در حال حاضر می تواند به طور موثر این مشکل را حل کند؟ من از HTTPS به عنوان ابزاری برای برقراری ارتباط بین دو نقطه فکر می کنم ، با این حال ، این ممکن است هویت هر یک از اهداف را تضمین نکند؟
متشکرم ، هر گونه توصیه ای قدردانی می شود!
