我们目前正在构建新服务的过程中,其目的是为后端使用PHP,更重要的是,使用AJAX而不是前端的常规HTTP请求。所以只会有一个初始页面请求。基于AJAX的服务的身份验证协议
虽然这样做,我们也想确保它是安全的。
所以问题是这样的: 登录是基于正规用户名/密码。 AJAX前端会根据需要向服务器发出AJAX请求,但应该怎么做以避免不必要的安全问题?哈希密码显然是一个,它可以进一步通过在哈希中包括服务器生成的令牌进行改进等。
但是,我确定有这些事情建立协议,但我真的不'不知道他们的优点......甚至他们被称为或在哪里找到他们(请注意,服务器本身是可信的)。
使用HTTPS会使所有这些冗余吗?或者比如哈希密码仍然是非常必要的(理论问题)?使用协议是否仍然对HTTPS很重要/有用/毫无意义?
http://en.wikipedia.org/wiki/Secure_Remote_Password_protocol,这是我应该看看的东西吗? HTTPS是否使SRP变得冗余?是否有更合适的协议,尤其是通过HTTPS?
意见而非回答:AJAX仍然使用TCP/IP和HTTP传输。 HTTPS是最好的选择。 – trickwallett 2011-04-20 15:59:33