我希望實現一些有效的（即具有良好的性能）邏輯，以便在我們的Web應用程序中進行有效負載簽名。目標是讓 HTML5 客戶端保證接收到的有效負載的內容確實是由我們的后端生成的內容。我們不想使用共享鹽進行有效負載哈希生成，因為用戶可以輕松打開HTML5源代碼并找到鹽短語。我們現在已經實現了 RSA 簽名，其中后端使用其私鑰添加有效負載簽名，我們的 HTML5 客戶端使用其內置的公鑰對其進行驗證。但是，簽名生成過程需要 250 毫秒（對于相對較小的有效負載），并且由于簽名請求的性質，此時間量是不可接受的。唯一的另一個想法是在運行時生成一個共享密鑰，每次客戶端初始化其與后端的會話時。然而，這個秘密不能以明文形式發送，所以看起來我們將不得不實現一個Diffie-Hellman交換機制，如果可能的話，我們希望避免這種情況，或者使用現有庫自動化。請記住，由于我們銷售產品的方式的性質，保密和加密需要在應用程序層完成。我們不希望加密我們的流量，這是我們的客戶可能會或可能不會實現的東西（因為它是一個 Intranet 應用程序）。但是，我們必須避免向他們公開與我們的許可檢查機制等相關的內容。后端不是基于云的，也不由我們控制，而是安裝在客戶的本地計算機上。前端是爪哇腳本，后端是爪哇。