使用API进行登录验证是否安全
本文关键字:验证 是否 安全 登录 API 使用 | 更新日期: 2023-09-27 18:07:23
好的,所以我正在创建一个c# win表单程序,它有一个登录表单,在我的网站上使用一个基本的api i主机进行登录验证(通过HTTPS服务)。
例如这里有一些代码
WebClient wb = new WebClient();
wb.Headers.Add("User-Agent", "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.33 Safari/537.36");
String response = wb.DownloadString("https://www.example.com?username="+userName+"&password="+password);
if(response == "1")
{
//logged in
}
我只是想知道使用API进行登录验证是否安全,就像我在我的例子中做的那样。感谢阅读
如果 API拥有为经过身份验证的用户执行的任务,这很好。
也就是说windows窗体应用程序只是一个轻量级客户端,但是所有需要身份验证和某些授权级别的操作都由API拥有。这意味着如果没有有效的令牌或类似的令牌,API就会拒绝尝试。
请不要使用查询字符串参数进行身份验证,您应该始终通过HTTPS安全地使用API进行身份验证,并确保敏感信息隐藏在帖子的消息体中。
查询字符串参数将被加密,并且在传输过程中不可见,但是将敏感信息放在那里只是一个不好的做法。尤其是密码。不要忘记,当它们到达另一端的服务器时,URL是明文的,这样它就可以被相关的web服务器管道(如IIS)处理。这意味着它们在日志和其他区域也将是可见的。