Если я отправляю пароль в JSON через HTTPS для выполнения аутентификации, это безопасно? Есть ли лучший способ сделать это?отправляет пароль в JSON по HTTPS, который считается безопасным?
В общем, что является лучшим способом отправить имя пользователя и пароль на сервер для выполнения аутентификации?
В общем, да, это безопасно для пассивного сетевого подслушивания, что является основной угрозой для такого рода архитектуры.
Если вы предпочитаете не отправлять пароль в запросе (HTTPS-encrypted), вы можете отправить сервер уникальной строке запроса клиенту. Клиент хэширует комбинацию этой строки с паролем и затем отправляет хэш на сервер. Это доказывает серверу, что клиент имеет пароль, фактически не отправив его. Форма входа Yahoo используется, например, для работы.
Если я правильно понимаю, у вас есть веб-служба, которая принимает запросы POST для аутентификации. Клиент не обязательно является веб-браузером, это может быть мобильное приложение или настольное приложение? Пожалуйста, предоставьте дополнительную информацию о том, чего вы пытаетесь достичь. – dpp
Да точно. Это мобильное приложение и отправляет запрос POST для аутентификации. –