是否可以在不使用 session 、cookie 和 SSL 的情况下进行安全身份验证?
我看过其他协议(protocol),例如 SRP 和 Diffie-Hellman,但最后您必须通过网络发送 key 证明,这很容易受到“中间人”攻击...
最佳答案
只要在连接之前不存在任何通信(私下交换 key ,以便您可以加密消息等),如果不在网络上使用 SSL,任何事情都是不安全的。
关于security - 是否可以在没有 SSL 的情况下进行安全、 Restful 身份验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4549644/