您好,我正在开发一个移动客户端,它将使用一些公开的其余 Web 服务。但在此之前我们需要为它们增加安全性。我一直在研究 HTTP 基本和摘要式身份验证,但是由于我无法使用 https 连接,因此我认为这不是保护我的资源的最佳方法...其他帖子建议使用 session cookie 进行授权...但在这种情况下,我如何避免在身份验证时通过我的连接发送原始密码?
最佳答案
This question on restful authentication可能有您正在寻找的东西。进行一次身份验证,并让服务器存储一个独立于 session 的 cookie,其中包含用于将来身份验证的加密 key 。唯一的问题是在不使用纯文本的情况下执行第一次身份验证。 Basic 和 Digest 将为您散列凭证,但如果不通过安全通信,仍然不完全安全。
关于java - 访问 REST Web 服务的摘要式身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9020851/