如何在 android 和 Rest 上使用密码学处理信用卡信息
How to handle credit card information with cryptography on android and Rest
我有一个带有 ASP.NET WebApi 的后端和一个 Android 客户端。基本上,当用户付款时,我需要将信用卡信息发送到我的 WebApi,然后通过 REST 向我的网关付款。但我很担心,因为在某些情况下,这些信息可能会以某种方式被截获。为了在 SQL 上保存这些信息,我已经有了一个加密代码来执行此操作。我在想,我是否应该实现一个代码来加密从 android 到 Api 的数据并解密以进行支付,然后使用我当前的密码术存储在数据库中?我应该使用 Rijndael 吗?谢谢!
使用 HTTPS 时,您应该 pin the certificate,这意味着验证您直接连接的站点是否正确。
这是通过验证 HTTPS 连接提供的证书是正确的站点来完成的,这避免了 MITM attacks。
Android 客户端验证连接是否直接连接到您的网关,以及您的网关是否直接连接到支付站点。
您无需再添加security/encryption。
正如亨利所说:查阅 PCI DSS 文档。参见 PCI Compliance Guide。
我有一个带有 ASP.NET WebApi 的后端和一个 Android 客户端。基本上,当用户付款时,我需要将信用卡信息发送到我的 WebApi,然后通过 REST 向我的网关付款。但我很担心,因为在某些情况下,这些信息可能会以某种方式被截获。为了在 SQL 上保存这些信息,我已经有了一个加密代码来执行此操作。我在想,我是否应该实现一个代码来加密从 android 到 Api 的数据并解密以进行支付,然后使用我当前的密码术存储在数据库中?我应该使用 Rijndael 吗?谢谢!
使用 HTTPS 时,您应该 pin the certificate,这意味着验证您直接连接的站点是否正确。
这是通过验证 HTTPS 连接提供的证书是正确的站点来完成的,这避免了 MITM attacks。
Android 客户端验证连接是否直接连接到您的网关,以及您的网关是否直接连接到支付站点。
您无需再添加security/encryption。
正如亨利所说:查阅 PCI DSS 文档。参见 PCI Compliance Guide。