如果我的问题似乎重复,我很抱歉,但我还没有找到答案.
我正在使用Spring 3.0构建基于REST的应用程序,并计划最终部署到Google App Engine.现在我的客户可能是原生Android,iPhone或基于Web的客户端.
我的用户需要使用存储在持久层内的服务器中的用户名和密码进行登录.现在说我的Android客户端打开应用程序,并显示登录屏幕是用户.现在用户输入用户名和密码.
我知道这将是一个帖子,并说我的服务端点是注册.所以它会是这样的
POST
/注册
现在我计划将用户名和密码放在Json或XML格式的消息正文中.我的问题是“这是正确的方法吗?”我打算把它变成SSL,但我该如何真正发送这样的敏感信息呢.我计划在成功进行身份验证时返回OAUth令牌,并使用该令牌在将来的所有服务调用中验证用户.
提前致谢.
最佳答案
听起来你有正确的想法. SSL应该确保您选择发送它的哪种方法是安全的.
请记住在存储密码之前对密码进行哈希哈希:
web cryptography – salted hash and other tasty dishes