背景：我正在為REST Web服務設計身份驗證方案。這并不是“真正”需要安全的（它更多是一個個人項目），但我想使其與練習/學習經驗一樣安全。我不想使用SSL，因為我不想麻煩，而且在大多數情況下也不需要設置它的開銷。這些SO問題對于我入門特別有用：RESTful身份驗證保護REST API / Web服務的最佳做法最佳SOAP / REST / RPC Web API的示例？你為什么喜歡他們？那他們怎么了？我正在考慮使用Amazon S3身份驗證的簡化版本（我喜歡OAuth，但對于我的需求而言似乎太復雜了）。我在請求中添加了服務器提供的隨機生成的隨機數，以防止重放攻擊。要解決這個問題：S3和OAuth都依賴于對請求URL以及一些選定的標頭進行簽名。他們都沒有在 POST或PUT請求的請求主體上簽名。這難道不容易受到中間人攻擊，這種中間人攻擊會保留url和標頭并用攻擊者想要的任何數據替換請求正文？似乎我可以通過在已簽名的字符串中包含請求正文的哈希值來預防這種情況。這樣安全嗎？