通过HTTP重定向发送密码明文重定向到HTTPS

时间:2013-03-10 13:41:17

标签: java security https playframework passwords

这是关于如何保护从移动应用程序到Heroku上托管的Play应用程序的API调用的my previous question的后续内容。

最初建议我实施OAuth,但它似乎比我需要的更复杂,我认为只需通过HTTPS通过HTTPS发送密码明文并将其存储在设备上。

  1. 是否可以组成我存储在应用程序中的长随机字符串,并且还要求在API端?这似乎会阻止其他人使用API​​,这很好。
  2. 如果是这样,通过HTTPS发送该令牌以及用户的用户名和密码是否安全?

1 个答案:

答案 0 :(得分:0)

写这篇文章的时候,我遇到了this回答,这看起来是一个可以接受的解决方案:

  • 每次通话都使用HTTPS
  • 第一次通话后,发回与每次后续通话一起发送的authToken
  • 在设备和服务器上经常使令牌过期
相关问题
最新问题