Zajmuję się tworzeniem usługi internetowej i muszę wysłać nazwę użytkownika i hasło do usługi w metodzie GET. Czy wysyłanie tych informacji w uri jest w porządku tak długo, jak przechodzi przez bezpieczny kanał, taki jak ssl? Innymi słowy, czy mogę mieć uri, który wygląda jak/users/{username}/{cleartext_password}?Wysyłanie nazwy użytkownika i hasła do usługi WWW
Edycja: Przepraszam, myślę, że byłem niejasny. Usługa sieciowa jest w zasadzie tylko bazą danych nazw użytkowników i zakodowanych haseł. Wyobraź sobie aplikację komputerową, która przechowuje nazwy użytkowników i hasła w zdalnej bazie danych. Użytkownik końcowy wpisuje swoją nazwę użytkownika i hasło do aplikacji, a aplikacja uzyskuje dostęp do usługi internetowej w celu uwierzytelnienia użytkownika.
Aplikacja będzie musiała więc wysłać do użytkownika nazwę użytkownika końcowego i hasło w postaci zwykłego tekstu. Usługa pobierze nazwę użytkownika i hasło oraz sprawdzi, czy nazwa użytkownika i hash hasła są zgodne z nazwą użytkownika i hashowanym hasłem w bazie danych. Sama aplikacja będzie musiała uwierzytelnić się przed uzyskaniem dostępu do usługi, ale zastanawiam się, jaki jest najlepszy sposób na wysłanie nazwy użytkownika i hasła użytkownika końcowego do usługi uwierzytelniania użytkownika końcowego. Nie używam metody POST, ponieważ po prostu uwierzytelniam i dlatego nie zmieniam stanu serwera. Przepraszam za zamieszanie.
Albo można patrzeć w sposób uwierzytelnienia dwukierunkowego SSL.Użytkownicy potrzebowaliby certyfikatów w taki sam sposób jak serwery, ale serwer może następnie bezpiecznie uwierzytelnić użytkownika. – mpez0