使用基于Rest的Web服务时,从前端到后端发送密码的最佳方法是什么?从Ui以加密形式发送密码是否足以使流程安全? 在请求标头中传递参数是否正确?如果不是最好的方法是什么?
提前致谢
答案 0 :(得分:1)
没有必要从UI加密密码,想要攻击它的人可以轻松获取您的javascript源以获得密钥。如果您使用哈希,他可以将相同的哈希发送到服务器。
只需将密码保存在HTTPS连接上,如果您有一个包含会话的cookie,则保持SSL密码。
其余的我将链接在他的评论中链接的herrh: Best Way to pass parameters from UI to backend
然后回答Endless只是你能拥有的最好的东西,这就是SE网站所做的。
答案 1 :(得分:0)
如果它是一个全局应用程序,我会说继续传递用户ID并维护一个授权层来访问任何控制器。 如果它是某个公司或域的应用程序,请尝试使用ADFS进行身份验证和授权。