2
모바일 응용 프로그램 용 휴식 API를 기존 grails 웹 응용 프로그램에 추가하고 있습니다. OAuth2 공급자를 내 응용 프로그램에 통합하는 데 어려움을 겪고 있으므로 자체 HMAC 메커니즘을 구현할 것입니다.REST API 인증 - 개인 키 교환
HMAC는 비밀 키를 사용하며 내가 원하는 것은 응용 프로그램의 각 사용자에게 자신의 비밀 키가 있다는 것입니다. 이제는 API와 모바일 장치간에 안전한 방식으로 비밀을 전송하는 방법이 있습니다.
물론 모든 통신은 SSL을 통해 이루어집니다. 그러나 유선으로 처음 연결할 때 서버에서 모바일 클라이언트로 클라이언트 비밀을 보내는 것이 안전합니까?
아니면 모바일 클라이언트와 함께 하나의 비밀을 저장하고 리버스 엔지니어링해야합니까?
아니면 다른 방법이 있을까요?