Мне нужно реализовать веб-приложение, чтобы пользователь мог обменять деньги.Приложению необходимо вызвать API # 1, чтобы получить обменный курс и показать его на экране для подтверждения.И затем вызовите другой API # 2 (тот же поставщик API) с этим подтвержденным обменным курсом для выполнения обмена денег.
Чтобы избежать сохранения состояния на сервере и защитить обменный курс от изменения пользователем,Я могу думать о том, что API # 1 должен возвращать простой обменный курс вместе с соответствующим зашифрованным с использованием симметричного ключа.Затем передайте зашифрованный в API # 2 для выполнения транзакции.
Я прав?Как безопасно реализовать шифрование?Симметричный ключ для пользователя с логином и временем входа в систему?Или генерировать ключ сеанса случайным образом для каждого сеанса входа в систему?