我有一个应用的中心admin实例,其中创建了judge个帐户。要使用此评判帐户,来自其他计算机的应用的judge实例需要使用中央admin进行身份验证。该应用的user实例会向admin发送一些内容,并将其推送给其中一位评委。
评委需要能够登录并通过管理员进行身份验证。 主要问题是因为每个人都在同一个网络上而没有SSL(我无法控制),有人可以嗅到法官发送给管理员的任何内容,并自己发送该数据并成为作为法官认证。
答案 0 :(得分:2)
显然,使用SSL是正确的方法。
如果这不是一个选项,您可以自己加密请求的内容,并确保它只能使用一次。
你需要:
这不会是不可取消的,但会阻止常规嗅探器重复使用凭据。