Hello,
- https
Ja.
- User/Passwort
Nein.
Könnte ich das so machen, dass ich im JSON ein Key-Value Paar eintrage, dessen Vorhandesein Bedingung für jegliche Weiterverarbeitung ist?
üblicherweise ja, wenn der Traffic ausschließlich über https stattfindet. Dann befindet sich der Requestbody bereits im verschlüsselten Teil.
Besser ist immer noch der Weg über
-
- Request Namen übertagen
- Response mit Rückfrage für Passwort
-
- Request Passwort übertragen
- Response mit Token (eine Art "Session-Cookie", nicht das der eigentlichen Session!)
Und weitere Zugriffe dann mit diesem Zugangs-Token vornehmen.
Der Vorteil dafür ist, dass für die Übertragung der Credentials zwei separat verschlüsselte Requests benutzt werden (können *1) )und das Token, das ja jedes Mal mitgeschickt wird, spätestens nach Ablauf der Session ungültig wird.
Zusätzlich könnte man in PHP noch session_regenerate_id() einsetzen und zusätzlich zum Token einen Fingerprint des Clients nutzen.
Das wäre dann aber schon ziemlich paranoid ;-)
*1) wenn HTTPS nicht mit keep alive benutzt wird.
Glück Auf
Tom vom Berg