Si queremos permitir datos confidenciales entre un servidor web y un cliente específico, ¿hay algo más que se pueda hacer además de lo siguiente?
Tenga en cuenta que esto es potencialmente un duplicado de ¿Autentica al cliente sin la clave de codificación? pero el enfoque aquí es más en una buena solución dentro de esta limitación (que no hay una solución absolutamente definitiva para autenticar al cliente)
1) Todos los flujos de tráfico a través de SSL
2) El cliente tiene una clave AES-256 codificada pero ofuscada
3) El servidor tiene la misma clave AES-256
4) El cliente solicita una nueva "clave de sesión"
5) El servidor genera una clave de sesión aleatoria y la cifra con una clave AES compartida
6) El cliente se descifra, y todo el intercambio adicional ocurre sobre esta "clave de sesión" (que también es aes-256)