Comments 3
А почему нельзя иcпользовать TLS с клиентским сертификатом? Тогда все будет и подписано и зашифровано?
TLS, кажется, не гарантирует целостность запросов после расшифровки. Например, если запрос перенаправляется внутри серверной инфраструктуры, подпись RSA позволяет проверить, что тело и заголовки не были изменены. Скрипт позволяет подписывать конкретные данные запроса (метод, тело), что полезно для защиты от манипуляций, даже если они передаются вне TLS-канала (например в логах).
Протокол защиты транспортного уровня[1]), как и его предшественник SSL (англ. secure sockets layer — слой защищённых сокетов), — криптографические протоколы, обеспечивающие защищённую передачу данных между узлами в сети Интернет[2]. TLS и SSL используют асимметричное шифрование для аутентификации, симметричное шифрование для конфиденциальности и коды аутентичности сообщений для сохранения целостности сообщений.
Все гарантирует. А если вам сломали "внутри серверной инфраструктуры" то уже никакие подписи запросов не помогут
Автоматизация RSA-подписей в API с помощью плагина Burp Suite