单一访问令牌：我应该始终使用 HTTPS 吗？

Question

我正在使用 authlogic 的单一访问令牌将数据从 MS Access 数据库同步到 Rails 应用程序。因为我认为 URL 暴露了单个访问令牌，所以我对扩展使用感到不安。我听说如果使用基本的 http 身份验证，HTTPS 对于安全性来说非常重要。我的情况类似吗？

谢谢你！

Answer 1

您需要 HTTPS 来实现身份验证安全并保护传输过程中的数据。

单一访问令牌或任何其他一次性使用的密码可以保护您免受键盘记录器或任何人获取和使用您的密码的侵害，因为您使用的任何密码都将不再有效。但是，如果没有 HTTPS，则可能会发生 中间人攻击。

然后是您通过线路发送的数据。如果它们没有加密，它们很容易在 HTTP 中捕获。实际上，HTTPS 在传输过程中提供数据加密。