本文介绍了使用SSL时在URL中传递用户名和密码不是个好主意吗?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
场景:
我有一个带有Web服务的ASP.NET/Silverlight网站,用于为Silverlight应用程序提供数据支持。网站使用表单身份验证,因此Web服务也可以对请求进行身份验证。
现在我想将一些数据从这个系统拉到一个Android应用程序中。我可以实现用于运行表单登录并存储身份验证cookie的代码,但实际上在Web服务url中发送用户名和密码并对每个调用进行身份验证要简单得多。我真的看不出这有什么大问题,因为通信是SSL加密的,但我愿意接受其他说法;)
你怎么看?坏主意/不错的主意?
结论:
在查看答案之后,针对url请求字符串中的name/pass的唯一真正有效的参数是它存储在服务器日志文件中。当然,这是我的服务器,如果那个服务器被黑客攻击,它存储的数据也会被黑客攻击,但我仍然不喜欢密码出现在日志中。(这就是它们被盐渍和加密存储的原因)解决方案:
我将随请求一起发布用户名和密码。最少的额外工作,更安全。
推荐答案
参见Are querystring parameters secure in HTTPS (HTTP + SSL)?
所有内容都将加密,但URL和查询字符串(以及密码)将显示在服务器日志文件中。
这篇关于使用SSL时在URL中传递用户名和密码不是个好主意吗?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持编程学习网!
本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除!