Какой тип аутентификации выбрать для банковского мобильного приложения?

Question

[Роман Сопов]

Какой тип аутентификации выбрать для банковского мобильного приложения?
Чтобы надежно и современно.

Answer 1

[xmoonlight]

https://ru.wikipedia.org/wiki/HMAC

Comments

[Роман Сопов]

Подписывается каждый запрос API, верно?

[xmoonlight]

Роман Сопов:
1. исходное состояние: сервер знает соль, функцию и auth-данные, клиент - функцию и auth-данные.

2. после получения от сервера хэш-подписи и ID-сессии (успешной авторизации) - мы мы формирует подпись данных (хэш-подпись на основе полученного ключа (key) после авторизации), с использованием случайного числа с плавающей точкой и таймера (временной засечкой).

3. после получения пакета - сервер проверяет что:
3.1 таймер сообщения не истёк
3.2 хэш-подпись сообщения совпадает с подсчетами сервера
3.3 время жизни сессии не истекло (иначе - переинициализация сессии)
Если все ОК - пропускает на исполнение.

4. В ответ на каждый API-запрос - сервер возвращает статус и генерирует новый ключ (имя сессии - в этом случае не передаётся).