我正在寻找一个现有的 HTTP 协议(protocol)来保护身份验证,而不是后面的有效负载。我希望服务器存储每个用户的用户名、散列密码和不同的盐。
HTTP 摘要式身份验证无法满足这些要求,因为所有帐户都使用相同的盐。 SSL 失败,因为它加密了整个连接。
编辑添加:
这适用于桌面客户端与网络服务的对话(不涉及浏览器)
最佳答案
流行的方案是让登录表单受 SSL 保护,而网站的其余部分不使用 SSL。例如,参见流行的社交网站。
关于ssl - 如何保护身份验证而不是有效负载?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/600329/