0

スキーマから、ベアラー トークン、ログイン、および md5 ハッシュ化パスワードを傍受することは可能ですか?

ここに画像の説明を入力

REST API でこれらのトランザクション/交換を保護するために、クライアントにも HTTPS を使用する必要がありますか?

4

1 に答える 1

0

スキーマがどこで行われるかによって異なります。そのため、VPN 接続で発生した場合、通信をさらに暗号化する必要はおそらくありません。

クライアントが「標準」の方法でログインページにアクセスすると仮定します。たとえば、後で任意のコンピューターから任意の Web ブラウザーでアクセスできるようにしたいログインページがあり、これはおそらくあなたが探しているものです (次に、詳細):

ログイン/パスワード:

クライアントがこれらの情報を HTTPS ページではなく HTTP ページに提供する場合、後でそのデータをどう処理しても、そのページに送信されると平文として傍受される可能性があります。

トークン

上の図は、ログイン資格情報を取得していることを示しています。パスワードの md5 ハッシュを作成し、その情報を HTTPS で保護されたページに転送してトークンを返します (資格情報が間違っている場合はそうではありません)。

ただし、HTTPS で保護されたシステムはトークンをユーザーに送り返します。ユーザーはそれを HTTP 経由でクライアントに送信するため、クリアテキストも傍受できます。

おそらく欲しいもの:

クライアントにログイン ページへの HTTPS で保護された接続を確立させ、HTTPs で保護されたログイン資格情報を配信し、それらが有効な場合は、確立された HTTPS で保護された接続内でトークンを受け取ります。

于 2013-10-28T12:50:35.617 に答える