我正在设计一个移动应用程序,它应该通过HTTPS协议与远程服务器交互。这意味着系统将设法加密消息并使用SSL证书对通信进行保密。
好吧,我还想提供一种身份验证方法,以保护系统免受外部攻击,并使其只能由具有有效凭据的用户访问。我现在想知道摘要 HTTP 身份验证(http://php.net/manual/en/features.http-auth.php)是否是一个好主意。我猜是这样,特别是因为我认为应该没有特别的风险,因为这样我应该设法将加密和身份验证结合起来。
但是,我在某处读到,如果我使用 SSL,HTTP 基本身份验证就足够安全了。真的吗?你们怎么看?
大家有什么建议吗?
非常感谢!