首先 - 我不是真的进入网络开发,所以请温柔;) 我有一个简单的请求,我的朋友创建了一个applet,向用户显示一些个性化数据,并允许向数据库添加新值。问题是要记录用户。我对我的系统有这样的想法:
Applet只能访问WebService。通过https连接是安全的。 在数据库中,在表'users'中我会存储用户名,哈希密码和salt。但是,我不想在每次调用数据库时发送用户凭据。这可能不安全。我该怎么做才能保证安全?
====编辑===== 或者也许它足以使用HTTPS +基本身份验证?
答案 0 :(得分:2)
使用基本身份验证的问题是您必须在自己的applet中对凭据进行硬编码。不建议这样做有很多原因,特别是如果它将成为前端/最终用户applet,因为他们可以非常轻松地获取这些凭据,这意味着您只是在Web服务器上为他们提供了有效的操作系统帐户。
只需使用cookie或令牌进行简单的会话管理即可。用户进行一次身份验证,然后会话标识符随每个请求一起发送,而会话在Web服务上有效,它将接受请求作为有效。