你们觉得呢?
1
vitovan 2023-03-18 18:52:47 +08:00
就是丑。
|
2
iseki 2023-03-18 19:05:56 +08:00
把 Authorization 头给占了,有时候可能有坑
|
3
yunser 2023-03-18 19:18:48 +08:00
信息安全看短板。传输过程是安全了,客户端怎么保存账密就是安全瓶颈了。
|
4
MFWT 2023-03-18 19:31:59 +08:00
感觉可以,但是还是不建议直接传输明文密码( Base64 就是明文),加盐 Hash 一下也要的
|
5
xiangyuecn 2023-03-18 20:20:25 +08:00
没有区别,放 header 里 还是 放 body 里 仅此而已
|
6
ospider 2023-03-18 20:44:15 +08:00 1
本来就是最佳实践啊
|
7
lopssh 2023-03-18 20:45:40 +08:00 via Android
没懂,还有其它组合吗?
|
8
pocarisweat 2023-03-18 20:46:08 +08:00
相当于每次都要提交最原始的登录信息,登录状态容易不可控,而且退出登录也不够方便
|
9
leonshaw 2023-03-18 21:03:06 +08:00 1
服务端校验密码是比较重的操作,尤其是 bcrypt 这种抗攻击 hash
|
11
codehz 2023-03-18 22:37:04 +08:00 via iPhone
密码本身就不安全了,更别说还要传输,加密也不行,cdn 也可以解密
这边建议用无密码的方式认证,用 webauthn api ,双方都不需要存储和记忆密码 |
15
iseki 2023-03-19 13:00:15 +08:00
另外每个请求都传输主密码是非常不安全的行为
|