如何在网址中隐藏密码

Question

有一个用于登录服务器的 JSP 脚本。目前，用户凭据是通过 HTTP 标头接受的，并且 login.jsp 文件的设计是，一旦用户提供凭据，用户就会被重定向到一个重定向 URL，这是一个完全限定的 URL，在查询字符串中包含用户名和密码，因此用户能够访问他想要的页面，但问题是密码在浏览器地址栏中可见。

那么，有什么方法可以在url中隐藏用户密码呢？

Answer 1

其他人建议使用 POST，这是正确的方法。但这还不足以保证中间人看不到密码。为了防止出现这种情况，您应该在服务器上启用 TLS (SSL) 并通过 https 提供页面

Answer 2

您可以在请求中使用 http POST 参数而不是 GET 参数。它们在 URL 地址栏中将不再可见。

Answer 3

我不了解 JSP，但您应该正确使用 POST 请求

Answer 4

除了上述有关使用 POST 参数的建议之外，如果我是您，我可能会重新考虑如何进行密码管理，因为您根本不需要在应用程序中将纯文本密码从一个页面传递到另一页面。

即使您需要将密码从一个页面传递到另一个页面，您也应该考虑对密码进行哈希处理，然后传递哈希值，然后让页面验证哈希值是否有效 - 因为希望您的数据库中包含哈希值

注意：如果您将密码以纯文本形式存储在数据库中，那么这也是绝对不允许的