在做一个使用 WordPress XML RPC API 的项目, 需求里说要登录后获取 token 验证,然后用 token 去请求 API ,但 WordPress XML RPC API 是每次传用户名密码作为 xml 里的参数的,然后就有人觉得不安全说是明文传用户名密码不好,一定要用 token, 可是我觉得,只要保证传输层面的安全,比如用 https 加密,直接用户密码验证并无不妥。相反,如果传输层面不安全,用 token 跟直接用户名密码并没有本质的区别,截取后伪造的请求的效果是一样的,大家觉得呢?
1
blahgeek 2016-03-21 17:42:48 +08:00 1
用 token 的原因不是防止传输过程的不安全吧,而是使应用程序不用存储用户的密码从而更加安全,并且用户可以给不同的应用程序不同的 token ,必要时 revoke 等等
|
3
v1024 2016-03-21 18:33:41 +08:00
token 的优势是可以吊销,可以精细的控制权限。
|