我知道有很多关于此的话题。但我仍然很困惑。
我有一个应用程序向我的服务器 (nodeJS) 发出请求以获取 JSON 数据。
目前,每个人都可以在 http://myserver/allUpdates/ 上获得所有内容,无需密码。他们只需要知道 URL。
所以我想我会做得更安全一些。 我一直在查看 Basic Auth,它似乎可以通过在每个请求的 header 中发送用户名和密码来工作。
够了吗?
有些人说,如果您不使用 SSL,它的作用不大。但总比没有好,对吧?
我从未使用过 SSL,看来还有很多东西要学。
所以我的问题是,当我不使用 SSL 时,我是否应该费心进行身份验证? 或者还有其他选择吗?
最佳答案
Some guys say that it doesn't do much if youre not using SSL. But it must be better than nothing, right?
不幸的是,那些人是对的。基本身份验证在发送明文时可能更糟,因为它给您一种模糊的安全感,但没有任何实际安全性。
这是因为通过代理或类似的方式拦截网络请求是微不足道的。如果您没有使用 SSL,那么您发送的每个参数都将很容易看到,包括您的基本身份验证凭据。
在回答您的问题“当我不使用 SSL 时,我应该为身份验证烦恼吗?” - 这取决于。如果您想确保您的数据只能由经过身份验证的用户访问,那么它真的是 SSL 或什么都不是。但是,如果您想要做的只是减轻服务器的负担(即速率限制),那么也许不会。我将假设您正在寻找前者,在这种情况下,我建议您花些时间来掌握 SSL。有很多关于将 Node 与 SSL 结合使用的资源,具体取决于您可能使用的其他框架(Express 等)。
关于ios - 应用程序和服务器之间的安全性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14582156/