如果我通过 HTTPS 以 JSON 格式发送密码以执行身份验证是否安全?有没有更好的方法来做到这一点?
一般来说,将用户名和密码发送到服务器以执行身份验证的最佳方法是什么?
最佳答案
一般来说,是的,这对被动网络窃听者是安全的,这是人们在这种架构中关注的主要威胁。
如果您不想在(HTTPS 加密的)请求中发送密码,您可以让服务器向客户端发送一个唯一的质询字符串。客户端将该字符串与密码的组合散列,然后将散列发送到服务器。这向服务器证明客户端拥有密码而无需实际发送密码。例如,雅虎的登录表单曾经是这样工作的。
关于security - 通过 HTTPS 以 JSON 格式发送密码是否被视为安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18245096/