[英]REST service through SSL and HTTP Basic Authentication
在保護API中:SSL和HTTP基本身份驗證與簽名如果通過SSL進行REST調用,則將HTTP基本身份驗證作為確保REST Web服務調用安全的適當方法。
但是,對於使用Ajax調用受SSL和基本身份驗證保護的REST服務的不安全客戶端頁面,該方法似乎仍然無法使用。
我正在嘗試設計一個使用常規方法執行密碼重置的應用程序:
通過定義這些網頁不需要登錄。 是否可以使用Ajax來實現此UI,Ajax調用REST服務來執行諸如驗證令牌,發送電子郵件等操作? 即使這些REST服務受SSL和基本身份驗證的保護,您調用該服務所需的信息(即應用程序的 “用戶名”和密碼)也將最好在cookie中,這些cookie可以通過瀏覽器訪問。
我知道我缺少什么。 我只是不知道什么:-)
只要在SSL下發生1-3次,數據就可以通過網絡安全傳輸到服務器(假設您信任證書頒發機構)
在此過程中,瀏覽器將這些憑據保存在內存中。 您別無選擇,只能相信用戶是否要輸入數據。
網站代碼確定是否將信息存儲在cookie中。
我認為如果1-3使用SSL,您應該可以。
我不知道您要保護什么,所以我只是想一想。
如果您(或其他提供幫助的人)無法控制依賴方的根列表,則SSL和TLS沒有意義。 我之所以這樣說,是因為我希望,如果您不信任那個帶鎖鑰匙的人,那么您就不會把錢投入他的金庫中。 因此,可以這么說,如果加載登錄頁面的用戶非常瘋狂,那么通過TLS的用戶/訪問權限就很低,絕對足以保護我最喜歡的電影列表。
卡比稱贊所有人都是FSM
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.