【问题标题】:Sending Password Plaintext over HTTP Redirect to HTTPS通过 HTTP 重定向发送密码明文到 HTTPS
【发布时间】:2013-03-10 22:07:07
【问题描述】:

这是my previous question 的后续内容,内容涉及如何保护从移动应用到托管在 Heroku 上的 Play 应用的 API 调用。

最初建议我实现 OAuth,但它似乎比我需要的要复杂,我考虑在每次调用时通过 HTTPS 发送密码明文并将其存储在设备上。

  1. 是否可以只组成一个我存储在应用程序中的长随机字符串,并在 API 端也需要它?这似乎会阻止其他人使用 API,这很好。
  2. 如果是这样,仅通过 HTTPS 发送该令牌以及用户的用户名和密码是否安全?

【问题讨论】:

    标签: java security https playframework passwords


    【解决方案1】:

    在写这篇文章时,我遇到了this 的答案,它看起来是一个可以接受的解决方案:

    • 每次调用都使用 HTTPS
    • 第一次调用后,发回一个 authToken,每次后续调用都会发送一个 authToken
    • 每隔一段时间在设备和服务器上过期令牌

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2021-07-12
      • 1970-01-01
      • 2017-12-24
      • 2018-12-06
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多