0082デフォルトの名無しさん垢版 | 大砲2013/09/10(火) 04:06:22.73 >>80 認証だけなら良いと思うよ。SSLをかましているのであれば。 ただSSL経由とはいえ秘密鍵を平文で投げたくない、かつステートレスにしたい のであれば自ずとリクエストと秘密鍵から計算したハッシュ値で署名するという 解決策にたどり着く。 仮にリクエストがのぞき見されても秘密鍵は漏れないし、ハッシュ値を計算する データの中にタイムスタンプを含めておけばリプレイ攻撃にも多少は強くなる。