我正在构建一个Android云应用程序,要求用户在远程PHP / MySql服务器上验证自己。至于现在,我正在使用基本的http post请求。我知道这很危险,因为任何人都可以嗅探通信并窃取凭据。除了使用https / SSL解决此问题之外还有其他解决方案吗?
如果我必须使用SSL,是否有会话管理库我可以使用,以便每次用户联系服务器时都不需要通过SSL重新发送用户凭据?
答案 0 :(得分:1)
This answer should help you。那里有一些好的答案。简而言之:您有一些选择,但最好还是使用SSL。
答案 1 :(得分:1)
请记住,即使您获得安全身份验证,所有其他内容仍然容易被嗅探。 HTML文件以纯文本形式发回,其中可能包含敏感信息。专门为此作业制作。
您无需重新发送凭据,SSL是相当透明的“即插即用”。
使用PHPSESSID(session_start()的默认值)来跟踪用户。