Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
如果我通过 HTTPS 以 JSON 格式发送密码以执行身份验证,是否安全?有更好的方法吗?
一般来说,将用户名和密码发送到服务器以执行身份验证的最佳方式是什么?
一般来说,是的,这对被动网络窃听者是安全的,这是人们在这种架构中关注的主要威胁。
如果您不想在(HTTPS 加密的)请求中发送密码,您可以让服务器向客户端发送一个唯一的质询字符串。客户端对该字符串与密码的组合进行哈希处理,然后将哈希发送到服务器。这向服务器证明了客户端拥有密码而没有实际发送密码。例如,雅虎的登录表单过去就是这样工作的。