我们目前正在构建新服务,目的是将PHP用于后端,更重要的是,使用AJAX而不是前端的常规HTTP请求。因此,只会有一个初始页面请求。
在这样做的同时,我们也希望确保它是安全的。
问题是: 登录基于常规用户名/密码。 AJAX前端将根据需要向服务器发出AJAX请求,但应该采取哪些措施来避免不必要的安全问题?哈希密码显然是一个,它可以通过在哈希等中包括服务器生成的令牌等进一步改进。
但是,我确信这些东西已经建立了协议,但我真的不知道它们的优点......甚至它们被称为什么或在哪里找到它们(注意,服务器本身是可信的)。
使用HTTPS会使所有这些都变得多余吗?或者例如哈希密码仍然是严格必要的(理论问题)?在HTTPS上使用协议仍然重要/有用/无意义吗?
http://en.wikipedia.org/wiki/Secure_Remote_Password_protocol,这是我应该研究的内容吗? HTTPS会使SRP冗余吗?是否有更合适的协议,尤其是通过HTTPS?
答案 0 :(得分:0)
如果你使用PHP会话,你应该没问题。当您进行AJAX调用时,将从您的页面向服务器发送cookie有效负载,指示它对应的会话ID。显然,通过HTTPS执行此操作以确保通信安全。