我正在阅读有关如何调用应用程序 Web 服务的文档,他们说出于安全原因,在 Web 服务调用中包含主登录用户名和主登录密码,例如
/jw/web/json/workflow/process/start/testcall?j_username=kermit&hash=9449B5ABCFA9AFDA36B801351ED3DF66&loginAs=john
但这在我心中提出了一个问题,散列密码的想法是什么?因为我正在显示将与数据库中的哈希值匹配的密码哈希值?
因此,如果服务器也期望密码哈希值,那么暴露密码哈希值仍然是不安全的!!!? 我的意思是最后密码的值是否作为哈希值可见?