我正在开发一个客户端-服务器系统,其中客户端是一个通过 SOAP 消息与后端通信的 iphone 应用程序。现在,客户端在每次请求时都会在 SOAP 正文中发送用户名和密码,这当然不好。
对此的解决方案不必(实际上:不能)太复杂,我只是不想过多地发送用户名和密码。
一个“好的”解决方案是让客户端使用用户名/密码进行一次身份验证,然后接收一个有效期为 1 小时且必须随每个请求一起发送的令牌吗?
这种情况下的“最佳实践”是什么?WS-安全?
问问题
69 次
1 回答
0
使用在一段时间内有效的安全令牌是很常见的做法。当然不建议在每个请求中发送凭据。
您可以参考以下链接了解更多详情: https ://softwareengineering.stackexchange.com/questions/83037/best-practices-for-expiration-of-tokens-in-a-security-token-service-sts
于 2012-12-05T05:13:40.943 回答