每次用用户名密码请求 API 比用 token 请求不安全吗?

2016-03-21 17:32:54 +08:00
 falcon05

在做一个使用 WordPress XML RPC API 的项目, 需求里说要登录后获取 token 验证,然后用 token 去请求 API ,但 WordPress XML RPC API 是每次传用户名密码作为 xml 里的参数的,然后就有人觉得不安全说是明文传用户名密码不好,一定要用 token, 可是我觉得,只要保证传输层面的安全,比如用 https 加密,直接用户密码验证并无不妥。相反,如果传输层面不安全,用 token 跟直接用户名密码并没有本质的区别,截取后伪造的请求的效果是一样的,大家觉得呢?

2771 次点击
所在节点    WordPress
3 条回复
blahgeek
2016-03-21 17:42:48 +08:00
用 token 的原因不是防止传输过程的不安全吧,而是使应用程序不用存储用户的密码从而更加安全,并且用户可以给不同的应用程序不同的 token ,必要时 revoke 等等
falcon05
2016-03-21 17:51:44 +08:00
@blahgeek 有道理,受教了
v1024
2016-03-21 18:33:41 +08:00
token 的优势是可以吊销,可以精细的控制权限。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/265201

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX