我使用PHP/CodeIgniter和Tank_Auth库在site.com上进行身份验证,并通过API和Phil Sturgeon提供的非常基本的REST API进行身份验证。
现在,当用户在Site1上填写用户名/密码时。它发出一个API调用,如:
http://site2.com/api/index/authenticate?username=jdoe&password=123456
Site2.com.index/authenticate使用tank_auth库将用户名/密码与数据库中存储的内容进行比较。
我的问题:有没有一个标准可以在提交过程中加密密码,然后在另一边解密?或者SSL证书就足够了吗?
用一些"salt"创建2的哈希,将其传递到查询字符串中,然后通过在第二台服务器上运行相同的哈希来确保其匹配。
http://site2.com/api/index/authenticate?username=jdoe&password=123456&cs=fds34wsef3ewtdfgw54ty43wg
一定要保守盐的秘密。。。不太确定是否要在GET中传递这个,尤其是密码——也许你可以传递一个单独的id散列而不是密码。当然要使用POST,最好使用SSL。你越能混淆、加密,就越安全