我正在开发一个 iPhone 应用程序,我需要实现一个“安全”登录系统。
当用户使用 httprequest 写入凭据时,phpmysql 会响应身份验证是否正确。
但是,登录后我是否必须为每个请求发送凭据?例如:当我登录时,如果我想获取我的个人资料信息,我应该再次发送我的凭据吗?
我想实现一个“令牌”系统,当用户登录服务器时用一个可用于每个请求的“令牌”进行响应,但是......如果有人“拦截”这个令牌怎么办?他可以使用这个令牌提出请愿,就像他是其他用户一样。
希望我能解释一下我正在尝试做什么(不使用 ssl)
谢谢!
您应该在使用 AES 或 SHA512 哈希传输凭据之前对其进行加密。 如果您走那条路,这也适用于使用令牌。 一定要使用 SSL。
如果您不希望有人嗅探您的明文凭据(无论是令牌还是任何其他凭据),则必须使用 SSL/TLS(请参阅:https)。