HTTPSに反してRSA（opensslを使用）を使用

Question

私はRESTアプリケーションでAPIセキュリティを実装する予定です。ここでは、セッショントークンをクライアントに返す認証URL（サーバーPHPアプリケーション上）の作業が必要です、iphone、BB、wp7、wp8）がこのURLをリクエストしています。

可能な解決策を探した後、私はこれらの2つが自分のニーズに合っていることを発見しました。しかし、私は長期的に私を生き残るための解決策を決めることができません。

1. ユーザデータを認証URLに転送するためにopensslでRSA暗号化を使用しています（私は標準的で安全な方法に固執するためにopensslを使用しています）。
2. HTTPSを使用してユーザーデータを渡し、OSに暗号化/復号化を処理させることができます。

しかし、ここでは、公開鍵にアクセスできない場合、クライアントは認証urlへの呼び出しを成功させることができないため、最初のアプローチに特に傾いています。しかし、私は、このアプローチがすべてのモバイルクライアントでうまくいくかどうかはわかりません。

この上の任意のヘルプははるかに高く評価される！..

Answer 1

SSLを介して認証URLを送信するときは、[OK]をする必要があり。 SSLはサーバーを認証し、データが盗聴から保護され、中間の攻撃から保護されるようにします。 URLはこの保護されたチャネルを介して送信されるため、URLを検証した後、サーバーはクライアントが実際に正しいエンティティであると判断できます。トークンは、同じSSLセッションでクライアントに安全に送信できます。

独自のスキームを使用する場合は、独自のキー管理スキームとプロトコルを設定する必要があります。これは非常に難しいことです。 公開のキーにアクセスすることについてのあなたのコメントは、あなたが失敗することを示す良い指標です。 SSLも完璧ではありませんが、それは精査が多かったし、青色から抜け出す可能性は低いです。

つまり、＃1より＃2を選択します。