我正在开发一个客户端 - 服务器系统,其中客户端是一个iphone应用程序,通过SOAP消息与后端通信。 现在,客户端在每个请求的SOAP主体中发送用户名和密码,这当然不是好事。
对此的解决方案不需要(实际上:不能)太复杂,我只是不想过多地发送用户名和密码。
一个“好的”解决方案是让客户端使用username / pw进行一次身份验证,然后收到一个有效的令牌,比如1小时,并且必须随每个请求一起发送?
这种情况的“最佳做法”是什么? WS-Security?
答案 0 :(得分:0)
使用有效期为一段时间的安全令牌是很常见的做法。当然不建议使用每个请求发送凭据。
您可以参考以下链接了解更多详情: https://softwareengineering.stackexchange.com/questions/83037/best-practices-for-expiration-of-tokens-in-a-security-token-service-sts