在做一个使用 WordPress XML RPC API 的项目, 需求里说要登录后获取 token 验证,然后用 token 去请求 API ,但 WordPress XML RPC API 是每次传用户名密码作为 xml 里的参数的,然后就有人觉得不安全说是明文传用户名密码不好,一定要用 token, 可是我觉得,只要保证传输层面的安全,比如用 https 加密,直接用户密码验证并无不妥。相反,如果传输层面不安全,用 token 跟直接用户名密码并没有本质的区别,截取后伪造的请求的效果是一样的,大家觉得呢?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.