我想签名HTTP请求和响应的有效负载。签名应该驻留在标头中。签名机制不应要求对现有有效负载结构进行任何更改。
主要用例是不可抵赖性。
有许多自定义的方法,但我正在寻找一个标准。
如果可能的话,应该支持签名验证,而不必手动为每个应用程序提供其他应用程序的公钥(SSL证书的公钥基础设施工作方式)
是否有这样的现有标准?
是的,有一个用于签名HTTP的IETF草案。
https://datatracker.ietf.org/doc/draft-ietf-httpbis-message-signatures/
关于PKI的问题,您可以在签名头中进行证书分发,因此如果您确实有密钥的信任根,则不需要复制各个公钥。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium