V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
falcon05
V2EX  ›  WordPress

每次用用户名密码请求 API 比用 token 请求不安全吗?

  •  
  •   falcon05 · 2016-03-21 17:32:54 +08:00 · 2785 次点击
    这是一个创建于 3188 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在做一个使用 WordPress XML RPC API 的项目, 需求里说要登录后获取 token 验证,然后用 token 去请求 API ,但 WordPress XML RPC API 是每次传用户名密码作为 xml 里的参数的,然后就有人觉得不安全说是明文传用户名密码不好,一定要用 token, 可是我觉得,只要保证传输层面的安全,比如用 https 加密,直接用户密码验证并无不妥。相反,如果传输层面不安全,用 token 跟直接用户名密码并没有本质的区别,截取后伪造的请求的效果是一样的,大家觉得呢?

    3 条回复    2016-03-21 18:33:41 +08:00
    blahgeek
        1
    blahgeek  
       2016-03-21 17:42:48 +08:00   ❤️ 1
    用 token 的原因不是防止传输过程的不安全吧,而是使应用程序不用存储用户的密码从而更加安全,并且用户可以给不同的应用程序不同的 token ,必要时 revoke 等等
    falcon05
        2
    falcon05  
    OP
       2016-03-21 17:51:44 +08:00
    @blahgeek 有道理,受教了
    v1024
        3
    v1024  
       2016-03-21 18:33:41 +08:00
    token 的优势是可以吊销,可以精细的控制权限。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   928 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 19:48 · PVG 03:48 · LAX 11:48 · JFK 14:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.