如果我通过HTTPS在JSON中发送密码来执行身份验证是否安全?有没有更好的方法呢?
一般情况下,将用户名和密码发送到服务器以执行身份验证的最佳方法是什么?
答案 0 :(得分:4)
一般来说,是的,这对于被动网络窃听者是安全的,这是在这种架构中关注的主要威胁。
如果您不想在(HTTPS加密)请求中发送密码,则可以让服务器向客户端发送唯一的质询字符串。客户端将该字符串与密码的组合进行哈希处理,然后将哈希值发送到服务器。这向服务器证明客户端具有密码而不实际发送它。例如,Yahoo的登录表单就像这样工作。