我正在使用令牌样式身份验证过程。客户端获得令牌后,可以在客户端的cookie(对于Web)中设置令牌,或者在客户端的请求的授权标头(对于移动设备)中设置令牌。但是,为了获得有效的令牌,客户端必须首先使用有效的用户名/密码组合“登录”。我的问题是这样的:
通过在授权标头中发送用户名/密码组合而不是在请求的JSON正文中作为参数发送任何安全性(假设我正在使用HTTPS)?
我只需要在每个会话中发送用户名/密码组合“一次”即可获得令牌。通过执行“基本身份验证”样式,我可以获得任何好处吗?
在Authorization标头和JSON正文中发送凭据没有增加安全性。使用Authorization标头的优点是您可以利用标准化的HTTP语义,而不必完全记录客户端应该做什么。您可以简单地将它们指向RFC。
如果您担心真正的RESTful,那么必须使用Authorization标头而不是滚动自己的方法。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句