自定义了SoapHeader,进行用户身份验证。如Header中有 UserID = 加密后的用户名 , Pwd = 加密后的密码 因为一般来说 这个 UserID 和 Pwd 是不会变的 别人可以不可以通过什么软件拦截到SoapHeader头信息,并获取到 UserID 和 Pwd 的值? 如果能拦截并获取到这个值,那 UserID = 明文 ,Pwd=明文 与 UserID = 加密后的用户名 加密后的 密码 不就是一样的了吗? 只要别人拦截到,分析 Header 中的信息,获取后,直接把获取到的信息传过来, 那就不也一样能通过验证的,现在很疑惑?
1 回答
慕田峪7331174
TA贡献1828条经验 获得超13个赞
你说的是两个概念,拦截你的消息是传输安全,你可以用ssl;而加密传输内容是指的消息安全性,出了加密消息,你也可以用令牌。
你可以根据系统实际应用场景来决定是否两者用,或者只选其一
- 1 回答
- 0 关注
- 368 浏览
添加回答
举报
0/150
提交
取消