我正在開發一個Web服務,我需要在GET方法中向服務發送用戶名和密碼。只要它通過像ssl這樣的安全通道就可以在uri中發送這些信息嗎?換句話說,我可以擁有一個看起來像/ users/{username}/{cleartext_password}的uri嗎?發送用戶名和密碼到Web服務
編輯:對不起,我想我不清楚。 Web服務本質上只是用戶名和散列密碼的數據庫。想象一下,將用戶名和密碼保存在遠程數據庫中的桌面應用程序。最終用戶將他們的用戶名和密碼輸入到應用程序中,然後應用程序訪問Web服務以對用戶進行身份驗證。
因此,應用程序需要向服務發送最終用戶的用戶名和明文密碼。該服務將獲取用戶名和密碼,並檢查用戶名和密碼的散列與數據庫中的用戶名和散列密碼相匹配。應用程序本身在訪問服務之前必須進行身份驗證,但我只是想知道將最終用戶的用戶名和密碼發送到服務以驗證最終用戶的最佳方式。我不使用POST方法,因爲我只是進行身份驗證,因此不會更改服務器的狀態。對困惑感到抱歉。
或者你可以看看做雙向SSL認證。用戶需要使用與服務器相同的證書,但服務器可以安全地對用戶進行身份驗證。 – mpez0 2010-05-20 18:57:15