如何加密密码以进行 REST API 身份验证

Question

有很多关于如何保护 REST API 访问的资源，但这不是我想要的。我将使用提供的带有 Basic Authentication 的 REST API（这不能轻易更改：（）。

显然我可以选择：

var requestOptions = {
    hostname: "rest.api.url.com",
    path: "/path/",
    auth: "username:password"
};

var req = http.request(requestOptions, function (res) {
    // some code here
    });

有没有办法在脚本中不提供纯文本密码？

Answer 1

有没有办法在 [JavaScript] 中不提供纯文本密码？

客户端 JavaScript 总是容易受到篡改和修改，包括反转您存储在客户端脚本中的任何“加密”密码。你可以随意混淆你的代码，但如果密码以任何形式出现在你的客户端脚本中，它是可以访问的。

我将使用提供的带有基本身份验证的 REST API（这不能轻易更改

由于您无法将 REST API 更改为使用令牌或 SSL 之类的东西，因此想到的一种解决方案是在您的服务器和 REST API 之间建立一个中介，确实如此use SSL。与服务器上的某些服务器端脚本进行安全通信，并让该脚本代理来自 REST API 的请求和响应。

资源：

• How to encrypt data in javascript and decrypt in php?
• Secure communication between JavaScript and a Web service in PHP
• How to secure the password while it being sent using AJAX?

Answer 2

您可以使用您喜欢的任何加密对其进行编码，但是您的加密技术仍然存在于客户端。正确的做法是设置 SSL 证书，以便您的请求使用证书加密。

此外，为了减少向周围发送密码的需要，您可能需要考虑使用某种基于令牌的身份验证。