我正在开发一个iphone应用程序,我需要实现一个'安全'登录系统。
当用户使用httprequest写入凭据时,phpmysql会响应身份验证是否正确。
但. .登录后,我是否必须为每次请求发送凭据?例如:当我登录时,如果我想获得我的个人资料信息,我应该再次发送我的凭据吗?
我想实现一个'令牌'系统,当用户登录服务器响应一个'令牌',可以用于每个请求,但…如果有人"拦截"了这个令牌怎么办?他可以使用这个令牌发出请求,就像他是另一个用户一样。
希望我能解释我在做什么(不使用ssl)
谢谢!
您应该在使用AES或SHA512散列传输凭证之前加密它们。这也适用于使用令牌,如果你走那条路的话。一定要使用SSL
如果您不想让某人嗅探您的明文凭证(无论是令牌还是任何其他凭证),则必须使用SSL/TLS(即https)。