我有一个django网络应用程序,其中包含使用TastyPie编写的RESTful API。我想允许我的移动应用程序访问使用用户名和api_keys的API,但很难知道将api_key返回给移动客户端的最佳方法。
我正在关注此处提供的资源代码: How can I login to django using tastypie
我的问题是,这是否是在POST请求中将用户名和密码作为数据参数传递的安全方法。我应该没事吗?
以下是帖子请求的示例:
使用数据{'username':'我'向http://myapp.com/api/user/login发帖, '密码':'l33t'}。
答案 0 :(得分:4)
虽然可以嗅探通过POST请求发送的数据,但这并不一定意味着您不应该使用它来向RESTful API提交用户凭据。所以,直接回答你的问题:
因此,POSTing身份验证凭据是否具有嗅探功能,没有。你能做到/做完了,是的。 当然,如果您需要更高的安全性,可以在此上下文中查看HTTPS是否适合您。
答案 1 :(得分:2)
不,发送明文凭据永远不会安全。任何嗅探流量的人(包括嗅探流量并将其全部转储到大型日志文件中)都将拥有凭据。