Web Service - Relating Request und Response

Question

In einer Web-Service (Web-API) Einstellung, was ist der Weg zu beweisen, dass eine digital signierte Antwort auf die bestimmte Anfrage bezogen ist. Zum Beispiel sende ich einige Parameter und die Antwort gibt "wahr" oder "falsch" zurück, aber ich möchte beweisen, dass die Antwort mit den Parametern verbunden ist, die ich sendete. Der einzige Weg, an den ich denken kann, ist, dass die Antwort diese Parameter enthalten sollte. Gibt es eine andere Option?

Answer 1

Sie müssen die Anfrage mit der Antwort verknüpfen, die die Anfrage selbst (oder die Hauptteile) oder einfach einen Hash der URL und Parameter enthält. Zum Beispiel SHA256 (path +param1 + params2 + param3) abhängig von den Daten, die Sie beibehalten möchten. Die digitale Signatur schützt in beiden Fällen die Integrität der Antwort.

Wenn Sie einen Hash als Antwort angeben, müssen Sie auch die Anforderung oder zumindest die Parameter der Anforderung speichern, um überprüfen zu können, ob der Hash den gesendeten Parametern entspricht. Fügen Sie auch eine Kennung hinzu, um die Anfrage und die Antwort auf einfache Weise zu verknüpfen.