【发布时间】:2013-01-12 02:49:19
【问题描述】:
我正在构建一个 Android 云应用程序,要求用户在远程 PHP/MySql 服务器上进行身份验证。就目前而言,我正在使用基本的 http post 请求来执行此操作。我知道这很危险,因为任何人都可以嗅探通信并窃取凭据。除了使用 https/SSL 来解决这个问题,还有其他解决方案吗?
如果我必须使用 SSL,是否有一个会话管理库可以让我在每次用户联系服务器时无需通过 SSL 重新发送用户凭据?
【问题讨论】:
-
使用 SSL 是小菜一碟,否则你将重新发明轮子。除非用户会话超时,否则您无需多次发送凭据。会话支持原生于 PHP。
-
你的意思是我可以像这样在 PHP 端存储用户名/密码:$_SESSION['uname']='UNAME'; $_SESSION['pswd']='PSWD'?但是,当会话超时时,我什么时候才能知道何时发送凭据?
-
SSL 需要几美元。小马起来。
-
SSL 的免费...人们只是想让您认为通过将不安全的网站错误放在“完全”安全的网站上会花钱。无论如何,服务器应该让客户端知道已经超时。
标签: php android authentication ssl