如何在不使用 SSL 的情况下加密 REST 调用中的请求 headers
how to encrypt the request headers in REST calls without using SSL
我正在使用不记名令牌身份验证。当我在表格中发送我的凭据时。我可以通过 Fiddler 轻松获取我的密码。我还可以在 fiddler 中看到令牌及其声明。
我可以复制此令牌并使用 fiddler 进行 API 调用。
这似乎是我系统中的一个巨大漏洞。我怎样才能防止黑客不使用令牌并且看不到提琴手中的凭据。
有没有办法在 API 调用中加密请求 headers。有没有办法在 API 中加密响应 headers?
是否可以在不使用 SSL 的情况下执行此操作?
请帮助我理解这一点
没有 SSL 也可以,但是您将不得不复制大部分 SSL,即信任、密钥交换、加密。
技术上也可以使用 private/public 键来完成,但这也确实使问题复杂化。
所以,使用 SSL
RFC 6749:
The authorization server MUST require the use of TLS as described in Section 1.6 when sending requests using password authentication.
我正在使用不记名令牌身份验证。当我在表格中发送我的凭据时。我可以通过 Fiddler 轻松获取我的密码。我还可以在 fiddler 中看到令牌及其声明。
我可以复制此令牌并使用 fiddler 进行 API 调用。
这似乎是我系统中的一个巨大漏洞。我怎样才能防止黑客不使用令牌并且看不到提琴手中的凭据。
有没有办法在 API 调用中加密请求 headers。有没有办法在 API 中加密响应 headers?
是否可以在不使用 SSL 的情况下执行此操作?
请帮助我理解这一点
没有 SSL 也可以,但是您将不得不复制大部分 SSL,即信任、密钥交换、加密。
技术上也可以使用 private/public 键来完成,但这也确实使问题复杂化。
所以,使用 SSL
RFC 6749:
The authorization server MUST require the use of TLS as described in Section 1.6 when sending requests using password authentication.