我正在开发具有登录表单以访问与网站相同的应用程序功能的 iPhone 应用程序。现在我想在 iphone 应用程序中添加一个按钮,将用户重定向到 safari 浏览器中的网站并成功登录。
成功登录 iPhone 应用程序后,用户想在浏览器中查看网站,所以我只需要添加用户可以直接登录其帐户并重定向到特定页面的功能。
我有一些基本的想法,我们可以用 url 加密用户名和密码。像http://xyz.com/login/username=abc&password=abc 但我知道用 url 传递用户名和密码的方式不安全。
所以如果可能的话,请给我建议任何其他方式。
如何实现这一点的任何想法或替代方案。
提前致谢。
有几种方法可以做到这一点。每当您通过 Internet 发送密码信息时,您都希望通过 SSL 对其进行加密。不过,这将需要您的 Web 服务器的 SSL 证书,但并不总是可行的。
您也可以自己加密用户名和密码,只有您的网络服务器知道如何解密。所以用户名“foo”可以变成“oof”,密码“bar”可以变成“rab”。这样,如果有人拦截了您的请求,他们就无法知道用户名和密码是什么,而不知道您是如何更改它们的。
为什么不传递会话 ID?
这就是我的意思:当你登录到一个网站时,通常你被分配(或已经拥有)一个“会话 cookie”,它基本上告诉服务器“这个访问者的会话 ID 'XYZ'”,并允许它检索为该用户存储的服务器端信息(例如他们是谁,他们已通过身份验证,或者您在会话存储中存储的任何其他信息。
移入/移出应用程序的一种更简单的方法是确保所有登录都生成服务器端会话,并提供一个脚本,该脚本将覆盖用户的会话 cookie 并将它们重定向到正确的页面。
session_restore.php?sessionId=12345&redirect=HOME
这里的怀疑者会争辩说,提供这样的脚本是为了安全漏洞,但我认为所有这些信息都已经存储在客户端,并且无论如何都可以在没有服务器干预的情况下完成。(Firefox 存在流行网站的会话劫持插件,可以从无线网络中获取会话 ID - 无需技术技能)
这样做只会使过程对用户更友好,并且如果您的站点提供 SSH 访问(无论如何您确实应该这样做),那么风险非常小。