从模式中,是否可以截获不记名令牌、登录名和 md5 哈希密码?
我是否还必须为客户端使用 HTTPS 来保护那些使用 REST API 进行的交易/交换?
这取决于您的架构发生在哪里。因此,如果它发生在 VPN 连接中,则可能无需进一步加密通信。
假设您的客户以“标准”方式访问登录页面,例如,您稍后有一个登录页面,您希望能够通过任何计算机上的任何网络浏览器访问它,这可能是您正在寻找的(然后深入研究细节):
登录名/密码:
如果客户端将这些信息提供给 HTTP 页面而不是 HTTPS 页面,则无论您之后如何处理该数据,如果将其发送到该页面,它都可能被截获为明文。
令牌
上图表明您正在获取登录凭据,对密码进行 md5 哈希并将该信息转发到 HTTPS 安全页面,该页面会返回令牌(如果凭据错误,则不会返回)。
然而,HTTPS 安全系统会将令牌发回给您,您将通过 HTTP 将其发送给客户端,这样它的明文也可以被拦截。
你可能想要的:
让客户端与登录页面建立 HTTPs 安全连接,提供 HTTPs 安全登录凭据,如果这些凭据有效,则在已建立的 HTTPs 安全连接中接收令牌。