您好我正在开发一个移动客户端,它会消耗一些暴露的休息网络服务。但在此之前,我们需要为他们增加安全性。我一直在关注HTTP基本和摘要式身份验证,但由于我无法使用https连接,因此不要认为这是保护我的资源的最佳方法......其他帖子建议使用会话cookie进行授权...但在这种情况下,我怎么能避免在验证时通过我的连接发送原始密码?
答案 0 :(得分:0)
This question on restful authentication可能有你想要的东西。验证一次并让服务器存储一个包含加密密钥的会话无关cookie,以便将来进行身份验证。然后唯一的问题是执行第一次身份验证而不使用纯文本。基本&摘要将为您散列凭据,但如果不通过安全通信仍然不完全安全。