有的时候我们会为了APP的安全做很多措施,就比如双向认证,通过证书帮助我们做通信加密。我们通过以下几个问题帮助我们更进一步地了解和实施。
双向认证实际就是通信双方互相认证的一个过程,做的比较多的就是客户端和服务端的相互认证,就是双方在通信的时候先校验下双方是否是合法的,注意是双方都要校验
有的同学就想,那https的校验过程属于双向认证吗?接下来,我们先来看下它的过程
这里借用其它网站的一张图,这个过程实际就是SSL/TLS加密的过程
通过这几个步骤我们发现,只有客户端校验了服务端的证书,但服务端并没有对客户端进行细致的校验,所以我们可以通过不同客户端向服务端发送请求。
那么问题来了,出于更高规格的安全考虑,我可不可以让我的服务端只接受我APP里发出的请求呢?
前端大概思路如下:
- 生成自签的客户端和服务端证书,拿到前端的客户端证书和ca证书
- 安卓端需要先将客户端证书的公钥和私钥转成p12格式,再转成bks格式;ios端p12就可以了
- 然后通过rn的原生模块嵌入到项目,具体可以看下rn的官方文档
另外,有的同学可能了解过SSL Pinning,我们知道SSL Pinning有两种策略,一种是把服务端证书放APP,一种是放服务端的公钥,然后通过证书或公钥对服务端进行合法校验。
但不管是哪种方式,实际上还是客户端在校验服务端罢了。
参考文章: HTTP 与 HTTPS 的区别