Jim*_*Jim 6 passwords service uri username
我正在开发一个Web服务,我需要在GET方法中向服务发送用户名和密码.是否可以在uri中发送此信息,只要它通过像ssl这样的安全通道?换句话说,我可以使用/ users/{username}/{cleartext_password}吗?
编辑:对不起,我想我不清楚.Web服务本质上只是一个用户名和散列密码的数据库.想象一个桌面应用程序,它将用户名和密码保存在远程数据库中.最终用户在应用程序中键入其用户名和密码,应用程序访问Web服务以对用户进行身份验证.
因此,应用程序需要向服务发送最终用户的用户名和明文密码.该服务将使用用户名和密码,并检查用户名和密码的哈希值是否与数据库中的用户名和哈希密码相匹配.应用程序本身必须在可以访问服务之前进行身份验证,但我只是想知道将最终用户的用户名和密码发送到服务以验证最终用户的最佳方法是什么.我不使用POST方法,因为我只是进行身份验证,因此不会更改服务器的状态.对困惑感到抱歉.
做这个.
发送"密钥"和"摘要".
"密钥"相当于用户名.
"摘要"是密钥的SHA1(或MD5)散列,URI和"共享密钥"或密码.
当服务器得到它时,它根据所请求的密钥,URI和"共享密钥"或密码来计算它自己的摘要版本.未能匹配摘要是401错误响应.
一般来说,这不是一个好主意...这些数据将出现在许多日志文件中,因此这些数据对于不应该看到它的人来说是可见的。如果可以的话,至少您应该在发送之前对其进行散列或加密。
这是更详细的相关讨论... HTTPS 查询字符串安全吗?
| 归档时间: |
|
| 查看次数: |
10336 次 |
| 最近记录: |