3

将用户凭据发送到无状态服务(比方说 ASP.NET Web Api)的最佳实践是什么。

当 SSL 不是一个选项时应该怎么做?在 URL 参数中发送用户凭据是否安全(有或没有 SSL)?

提前致谢

4

2 回答 2

2

查看这篇关于保护您的 API 的帖子,它易于阅读并解释了您需要的大部分内容。

关于 SSL 不是一种选择,如帖子中所述:

什么时候使用 HTTPS?

答:当您不想从 HTTP 请求中窃取信息时。

于 2013-04-15T22:09:59.287 回答
0
  1. 使用标准身份验证(BasicAuthentication、OpenID 或 Oauth)
  2. 使用 HTTPS。创建自签名证书并启用服务器是一个非常简单的操作
  3. 即使使用 SSL,也不要在 URL 参数中传递任何机密信息(也是用户密码)。他们可以登录到您的服务器
于 2013-04-16T14:00:37.990 回答