PHP与Obj-c（或其他任何方式）之间的安全身份验证

Question

我坐在这里从事一个小项目，在这种情况下，它在PHP和Obj-c之间。

这些之间进行安全身份验证的最佳实践是什么？

就像是

myhost?do=login&user=my_username&password=my_password

由于用户名和密码已公开打开，因此感到有点不安全。

我想我可以为此做一些SSL（？），但是有人有另一个很好的例子来说明一个好的解决方案吗？

我的想法是，登录名会将auth_key设置到用户表（MySQL），如果上述GET变量正确，它将返回userid和此auth密钥。 然后，在我针对PHP所做的每件事上，都会更新此auth密钥并将其返回给用户（obj-c程序），并且针对此密钥对服务器上完成的所有操作都进行身份验证，这仅仅是为了避免每次“显示”密码时间和使用密钥的时间，因为它已更新，所以它是无用的...

但是，这不能阻止任何人手动执行此操作，因为该密钥是在登录时收到并更新的。

有什么想法可以使其更安全，还是我只是偏执？

Answer 1

将POST用于用户名和密码表格以及SSL

Answer 2

GET和POST之间的区别实际上并不重要-两者都是HTTP请求，只要您不加密数据，就可以嗅探请求的主体。 当然，登录应该作为POST请求，但这仅仅是因为它不是幂等的，并且可能会有副作用[db写入，会话启动等]。

您可能只想切换到基于HTTPS协议的SSL，以确保您的数据安全。

作为[真正]最低限度的保护，您可以使用基本HTTP身份验证 ，该基本身份验证在发送登录凭据之前在Base64中对其进行编码-您可以使用RestKit轻松做到这一点 。