我正在开发一个Web服务,我需要在GET方法中向服务发送用户名和密码。只要它通过像ssl这样的安全通道就可以在uri中发送这些信息吗?换句话说,我可以拥有一个看起来像/ users/{username}/{cleartext_password}的uri吗?发送用户名和密码到Web服务
编辑:对不起,我想我不清楚。 Web服务本质上只是用户名和散列密码的数据库。想象一下,将用户名和密码保存在远程数据库中的桌面应用程序。最终用户将他们的用户名和密码输入到应用程序中,然后应用程序访问Web服务以对用户进行身份验证。
因此,应用程序需要向服务发送最终用户的用户名和明文密码。该服务将获取用户名和密码,并检查用户名和密码的散列与数据库中的用户名和散列密码相匹配。应用程序本身在访问服务之前必须进行身份验证,但我只是想知道将最终用户的用户名和密码发送到服务以验证最终用户的最佳方式。我不使用POST方法,因为我只是进行身份验证,因此不会更改服务器的状态。对困惑感到抱歉。
或者你可以看看做双向SSL认证。用户需要使用与服务器相同的证书,但服务器可以安全地对用户进行身份验证。 – mpez0 2010-05-20 18:57:15