web-services - 在 Web 服务调用中包含“主登录密码”的哈希值的想法是什么

Question

我正在阅读有关如何调用应用程序 Web 服务的文档，他们说出于安全原因，在 Web 服务调用中包含主登录用户名和主登录密码，例如

/jw/web/json/workflow/process/start/testcall?j_username=kermit&hash=9449B5ABCFA9AFDA36B801351ED3DF66&loginAs=john

但这在我心中提出了一个问题，散列密码的想法是什么？因为我正在显示将与数据库中的哈希值匹配的密码哈希值？

因此，如果服务器也期望密码哈希值，那么暴露密码哈希值仍然是不安全的！！！? 我的意思是最后密码的值是否作为哈希值可见？

score 0 · Accepted Answer

我得到了答案。我应该只使用

/jw/web/json/workflow/process/start/testcall?j_username=kermit&hash=9449B5ABCFA9AFDA36B801351ED3DF66&loginAs=john

在服务器端级别并且不使用 JavaScript，所以我不会暴露敏感数据。

1 回答 1