gpt4 book ai didi

flutter 安全

转载 作者:行者123 更新时间:2023-12-03 03:50:04 28 4
gpt4 key购买 nike

我正在创建一个使用 Node Js 服务器 API 的 Flutter 应用程序。对于授权,我决定将 JWT 与私钥/公钥一起使用。服务器和移动客户端之间的通信使用 HTTPS。 Flutter 应用程序将 token 存储在钥匙串(keychain) (ios) 或 keystore (android) 中。我的问题与额外安全措施实现的需要有关。我想知道是否需要以下几点:

  • 通过检查 token 来识别服务器,使用公钥验证服务器响应
  • 在服务器端使用私钥验证客户端请求(客户端使用公钥签署 token )

  • 为了避免中间人的攻击,真的需要这些吗?我的反对意见与每次通信的签名/验证 token 相关的性能有关。
    谢谢

    最佳答案

    我使用 JWT 我们的移动应用程序进行安全测试,这些应用程序已经通过了安全测试(3.party 公司)。该公司表示:保密您存储的 token 或任何 key 。
    我们知道仅 JWT 安全是不够的。我们编写了一个自定义加密算法来隐藏 JWT(如 sha-1),因此我们将 JWT 加密到此。(您必须编写加密代码客户端和后端)
    正常 jwt :eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf56POk6yJV_
    加密后:xxs{4=-23dasdxe3(示例)
    我们通过此解决方案通过了安全规则。

    关于 flutter 安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63769093/

    28 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com