我有一个静态AngularJS文件。它部署在AmazonS3上。我正在访问一个具有哈希身份验证机制的API。
我必须使用私钥才能创建URL的哈希并在标头上发送。它工作得很好,但问题是我必须找到一种方法,让私钥远离黑客。
我想知道是否有人知道保护钥匙安全的方法。
我曾考虑过在node.js服务器上运行我的网站。唯一的要求是我应该能够在亚马逊网络服务上部署它。
这有道理吗?
没有一种安全的方法可以在客户端存储机密。私钥应始终保留在服务器中。
API的常见身份验证机制是在客户端对身份验证进行散列(而不是加密)。
但若你们需要加密一些东西,你们应该在客户端使用一个带有公钥的非对称加密算法。
http://searchsecurity.techtarget.com/definition/asymmetric-cryptography