Is HMAC over SSL over killed?

This topic created in 2955 days ago, the information mentioned may be changed or developed.

注意到不论是 AWS 还是阿里，腾讯，在调用其 API 的时候，即使已经强制 HTTPS，仍然要求使用 HMAC 签名。请问这样做的目的是什么？为了包含客户端的 secret key 吗

4 replies • 2018-04-26 16:43:57 +08:00

BOYPT

Apr 26, 2018

HTTPS 解决的是通信加密，又不能解决身份校验。使用 HMAC 校验确保了只有合法用户的 key 在合法的时间内能访问合法的 api。

hoyixi

Apr 26, 2018

这样说吧，你找了 10 个保镖坐着防弹汽车去银行取钱（ https 保证传输过程安全），然而，你忘记了银行帐号和密码，有卵用吗？

lsylsy2

Apr 26, 2018

@BOYPT
@hoyixi
我猜 LZ 的意思是，既然用了 HTTPS，那么为啥不直接传明文密码
答案是可行的但是不好。因为可能泄露的不一定只有 HTTP （ S ）传输过程，还可能有系统内部的一个模块之类（某个模块所在服务器被黑），HMAC 能非常有效的控制泄露程度

FingerLiu

Apr 26, 2018

@BOYPT 懂了