我正在使用承载令牌身份验证。当我在表格中发送我的凭据时。我可以通过Fiddler轻松获取密码。我也可以在小提琴手中看到令牌及其声明。
我可以复制此令牌并使用fiddler进行API调用。
这似乎是我系统中的一个巨大漏洞。如何防止黑客不使用令牌而不在fiddler中看到凭据。
有没有办法加密API调用中的请求标头。有没有办法加密API中的响应头?
是否可以在不使用SSL的情况下执行此操作?
请帮我理解这个
答案 0 :(得分:1)
可以不使用SSL,但您必须复制大部分SSL,即信任,密钥交换和加密。
技术上也可以使用私钥/公钥来完成,但这也使问题复杂化。
所以,使用SSL
答案 1 :(得分:0)
RFC 6749:
The authorization server MUST require the use of TLS as described in Section 1.6 when sending requests using password authentication.