本文介绍了使用SSL时在URL中传递用户名和密码不是个好主意吗?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!

问题描述

场景:

我有一个带有Web服务的ASP.NET/Silverlight网站,用于为Silverlight应用程序提供数据支持。网站使用表单身份验证,因此Web服务也可以对请求进行身份验证。

现在我想将一些数据从这个系统拉到一个Android应用程序中。我可以实现用于运行表单登录并存储身份验证cookie的代码,但实际上在Web服务url中发送用户名和密码并对每个调用进行身份验证要简单得多。我真的看不出这有什么大问题,因为通信是SSL加密的,但我愿意接受其他说法;)

你怎么看?坏主意/不错的主意?

结论:

在查看答案之后,针对url请求字符串中的name/pass的唯一真正有效的参数是它存储在服务器日志文件中。当然,这是我的服务器,如果那个服务器被黑客攻击,它存储的数据也会被黑客攻击,但我仍然不喜欢密码出现在日志中。(这就是它们被盐渍和加密存储的原因)

解决方案:

我将随请求一起发布用户名和密码。最少的额外工作,更安全。

推荐答案

参见Are querystring parameters secure in HTTPS (HTTP + SSL)?

所有内容都将加密,但URL和查询字符串(以及密码)将显示在服务器日志文件中。

这篇关于使用SSL时在URL中传递用户名和密码不是个好主意吗?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持!

10-30 04:43