He construido un botón de tablero con el microcontrolador ESP8266. El microcontrolador debe responder a un servicio de descanso de ASP.NET WebApi para desencadenar una acción. ¿Cómo puedo hacer esta llamada api segura. La acción solo debe ser activada desde este microcontrolador específico. La reproducción de la Api Call puede no ser posible.
¿Cómo puedo archivar esto?
Pienso en una respuesta desafiante con un secreto que tanto el cliente (esp8266) como el servidor conocen.
Usted querría una gran lista de secretos en archivos SPIFFS (eliminar después de su uso) o rastrear los secretos utilizados (y buscar el uso usando un conjunto de carpetas anidadas de 1ª letra \ 2da letra \ etc) para evitar un ataque de reproducción.
Un botón de guión es simple; Dependiendo de tus otras bibliotecas y código, probablemente te quede suficiente memoria RAM para usar HTTPS (dependiendo del certificado). Eso haría que la repetición sea mucho más difícil ya que las suposiciones anteriores serían "oscuras" para los observadores. Es probable que pueda reutilizar las claves o al menos partes de las mismas si usa HTTPS.
Otra opción sería usar ESPNOW seguro para hablar con otro ESP que tiene un controlador Ethernet que se comunica por cable a una PC que luego usa HTTPS para comunicarse con el mundo exterior y puede autenticar solicitudes en un entorno de PC ( muchas opciones fáciles) en lugar de un entorno MCU (pocas opciones difíciles).
Lea otras preguntas en las etiquetas iot challenge-response