Сервер с JSON API. Как сделать правильно и безопасно.

#json #безопасность #шифрование

                    
Я хочу сделать сервер, который будет отдавать данные в формате JSON. (Как например
у Github.com).
Но проблема в том, что мне необходимо защитить передаваемые данные от перехвата.
Кроме того доступ к некоторым возможностям будет выборочным. (Т.е. нужна аутентификация
и авторизация).
Как это сделать? Можно использовать любые технологии, но желательно не слишком маргинальные.    

Ответы

Ответ 1

Авторизация по сложным паролям-токенам (средствами вашего кода) + HTTPS средствами
apache+mod_ssl.
Естественно, если клиент - браузер рядового пользователя - потребуется валидный сертификат.
Если же использовать нешифрованный протокол - то можно пытаться защитить авторизацию
через хеш на клиенте и рендомную "соль".
Опять таки - все зависит от клиента. Если это браузер - решение должно быть максимально
стандартным. 
Если коммутация сервер-сервер - тогда что угодно, вплоть до v3 SSL auth(обмен сертификатами).