Authentication
使用者如何通過基於 HMAC 的請求籤名獲得私鑰/公鑰?
我需要實現請求的 HMAC 簽名,我已經閱讀了這篇文章,它解釋了它的基礎知識以及如何在理論上實現。 https://blog.andrewhoang.me/how-api-request-signing-works-and-how-to-implement-it-in-nodejs-2/ 但我不知道使用者最初是如何獲得他們的公共/私人的密鑰對。是在登錄期間還是在註冊期間?他們會改變嗎?如果是,您如何向他們發送新的私鑰?
每個站點、使用者和伺服器都會生成他們的公鑰和私鑰,並通過發送公鑰來公佈它們。這可以在註冊過程中執行。伺服器不應該為使用者生成密鑰,否則,伺服器必須是完全信任的,你必須以某種方式安全地發送私鑰。
您可以使用 Diffie-Hellman 密鑰交換協議或橢圓曲線 Diffie-Hellman來生成要在 HMAC 或任何其他過程中使用的密鑰。