В настоящее время мы находимся в процессе создания нового сервиса, намереваясь использовать PHP для бэкэнда и, что более важно, использовать AJAX вместо обычных HTTP-запросов для внешнего интерфейса.Таким образом, будет только один начальный запрос страницы.
При этом мы также хотели бы убедиться в его безопасности.
Итак, проблема в следующем: Логин основан на обычном имени пользователя / пароле.Интерфейс AJAX будет по мере необходимости отправлять AJAX-запросы на сервер, но что нужно сделать, чтобы избежать ненужных проблем безопасности?Хеширование пароля, очевидно, одно, его можно еще улучшить, добавив в хеш хэш-сервер сгенерированного токена и т. Д. И т. Д.
Но я уверен, что для этих вещей существуют установленные протоколы, но я действительноне знаю их достоинств ... или даже как они называются или где их найти (обратите внимание, что сам сервер является доверенным).
Будет ли использование HTTPS делать все это избыточным?Или, к примеру, хеширование пароля все еще строго необходимо (теоретический вопрос)?Будет ли использование протокола по-прежнему важным / полезным / бессмысленным по HTTPS?
http://en.wikipedia.org/wiki/Secure_Remote_Password_protocol, - это то, на что я должен обратить внимание?HTTPS делает SRP избыточным?Существуют ли более подходящие протоколы, особенно через HTTPS?