sin*_*e j 0 asp.net android forms-authentication
场景:
我有一个带有webservices的ASP.Net/Silverlight网站,用于支持带有数据的Silverlight应用程序.该网站使用表单身份验证,因此Web服务也可以对请求进行身份验证.
现在我想从这个系统中将一些数据提取到Android应用程序中.我可以实现运行表单登录的代码,并存储身份验证cookie,但在webservice url中发送用户名和密码并验证每个调用实际上要简单得多.我并没有真正看到这个问题,因为通信是SSL加密的,但我很开放,否则会被说服;)
你怎么看 ?不好主意/没那么糟糕的主意?
结论:
在查看答案后,url请求字符串中针对name/pass的唯一真正有效的参数是它存储在服务器日志文件中.当然,这是我的服务器,如果该服务器被黑客入侵,它存储的数据也将被黑客攻击,但我仍然不喜欢日志中显示的密码.(这就是为什么它们被存储盐渍和加密)
解:
我将发布用户名和passord请求.最少的额外工作,更安全.
坏主意:您的帖子内容已加密,尽管 URL 参数也可能已加密,但第三方跟踪器、服务器日志或其他可以直接嗅探您流量的监控软件仍然可以看到它们。以这种方式打开潜在的安全漏洞并不是一个好主意。
| 归档时间: |
|
| 查看次数: |
2534 次 |
| 最近记录: |