0

我正在阅读有关如何调用应用程序 Web 服务的文档,他们说出于安全原因,在 Web 服务调用中包含主登录用户名和主登录密码,例如

/jw/web/json/workflow/process/start/testcall?j_username=kermit&hash=9449B5ABCFA9AFDA36B801351ED3DF66&loginAs=john

但这在我心中提出了一个问题,散列密码的想法是什么?因为我正在显示将与数据库中的哈希值匹配的密码哈希值?

因此,如果服务器也期望密码哈希值,那么暴露密码哈希值仍然是不安全的!!!? 我的意思是最后密码的值是否作为哈希值可见?

4

1 回答 1

0

我得到了答案。我应该只使用

/jw/web/json/workflow/process/start/testcall?j_username=kermit&hash=9449B5ABCFA9AFDA36B801351ED3DF66&loginAs=john

在服务器端级别并且不使用 JavaScript,所以我不会暴露敏感数据。

于 2012-10-11T11:30:52.977 回答