Дайджест-аутентификация для доступа к остальным веб-сервисам

Question

Здравствуйте, я разрабатываю мобильный клиент, который будет использовать некоторые открытые остальные веб-сервисы.Но перед этим мы должны добавить им безопасность.Я смотрю на HTTP Basic и Digest Authentication, однако, поскольку я не могу использовать соединение https, не думаю, что это будет лучшим подходом для защиты моих ресурсов ... В других сообщениях предлагалось использовать сеансовые куки для авторизации ...но в таком случае, как я мог избежать отправки необработанного пароля через мое соединение во время аутентификации ??.

Answer 1

Этот вопрос о спокойной аутентификации может иметь то, что вы ищете.Выполните аутентификацию один раз, и сервер сохранит независимый от сеанса файл cookie, содержащий зашифрованный ключ для будущей аутентификации.Тогда единственной проблемой является выполнение первой аутентификации без использования простого текста.Basic & Digest хэширует учетные данные для вас, но все еще не полностью безопасен, если не через безопасную связь.