我正在构建一个 Android 云应用程序,要求用户在远程 PHP/MySql 服务器上进行身份验证。就目前而言,我正在使用基本的 http post 请求来执行此操作。我知道这很危险,因为任何人都可以嗅探通信并窃取凭据。除了使用 https/SSL 来解决这个问题之外,还有其他解决方案吗?
如果我必须使用 SSL,是否有一个会话管理库可以让我在每次用户联系服务器时无需通过 SSL 重新发送用户凭据?
问问题
86 次
2 回答
1
这个答案应该可以帮助你。里面有几个很好的答案。简而言之:您有一些选择,但最好还是使用 SSL。
于 2013-01-12T03:01:06.303 回答
1
请记住,即使您获得了安全身份验证,所有其他内容仍然容易受到嗅探。HTML 文件以纯文本形式返回,其中可能包含敏感信息。SSL 是专门为这项工作而设计的。
您无需重新发送凭据,SSL 是相当透明的“即插即用”。
使用 PHPSESSID(默认为session_start())来跟踪用户。
于 2013-01-12T03:06:40.700 回答