如何设计一个安全的http API调用?

adad184 发布于 2014年10月03日
无人欣赏。

现在基本APP都是基于http做api调用 但是http是无状态的

各位在实际项目中有使用过哪些认证方法?

  • 比如最简单的可能是使用https 也很容易被中间人攻击等

  • 如果如果服务器端返回的session字段 也很容易被抓包

  • 也可以在参数中增加一个随机生成的验证字段 也可以被反编译

是不是有更好的验证机制?

共5条回复
bluemigrant 回复于 2014年10月05日

同等答案中

梦中醒不过来 回复于 2014年10月05日

关注,有人跟我提议在httprequest中加入token,我理解这样也不能避免中间人攻击。所以现在还没想到更好的方式。

adad184 回复于 2014年10月05日

2楼 @梦中醒不过来 token可能就是我说的session?

enno 回复于 2014年10月06日

同等,我现在还都是普通的webservice

梦中醒不过来 回复于 2014年10月06日

3楼 @adad184 无状态哪来的session呢?

登录 或者 注册
相关帖子