访问 REST Web 服务的摘要式身份验证

Question

您好，我正在开发一个移动客户端，它将使用一些公开的其余 Web 服务。但在此之前我们需要为它们增加安全性。我一直在研究 HTTP 基本和摘要身份验证，但是由于我无法使用 https 连接，因此不认为这是保护我的资源的最佳方法...其他帖子建议使用会话 cookie 进行授权...但在这种情况下，我如何避免在身份验证时通过我的连接发送原始密码？

Answer 1

这个关于静态身份验证的问题可能有您正在寻找的内容。进行一次身份验证，并让服务器存储一个独立于会话的 cookie，其中包含用于将来身份验证的加密密钥。唯一的问题是在不使用纯文本的情况下执行第一次身份验证。基本与摘要将为您散列凭证，但如果不是通过安全通信，仍然不完全安全。