如何使用API传输密码

Question

我正在开发REST (PHP/MySQL)，我想从我的游戏(Unity#)中使用这个API。我知道如何从双方着手，但我面临一个问题:如何处理密码？

我认为应该使用此路由来检查用户是否有效：https://my-website.com/api/users/{email}/{password} (如果情况不好，请告诉我如何发送这些值)。

然后，我想在输入后直接散列密码(在C# =我知道怎么做的游戏中)，但是我能安全地将哈希发送到服务器吗？我要储存散列吗？很明显，检查是在服务器端完成的，所以对照db哈希检查哈希会使调用易受攻击，对吗？如果有人在请求中读取哈希，他就会得到哈希，这样他就可以窃取信息.

我对这一切都迷茫了。而FYI，我正在使用HTTPS (所以它应该避免人在中间.)。

因此，真正的问题是:如何安全地将密码从游戏转移到服务器？

Answer 1

我看到您的服务是https服务，因此您可以发送用户名(电子邮件)和密码作为基本身份验证头。基本接入认证

Answer 2

你不需要破解密码。打个比方，如果你在网站上提交了一个表单，它会直接将密码发送到服务器，web应用程序不需要对它做任何事情。

确保它是通过安全连接发送的。如果可能的话，使用严格的运输安全，这样甚至不可能以纯文本发送它。

通常，在客户端发布正确的用户/密码对后，服务器将返回cookie或令牌，然后将其存储在客户机上并用于进行后续调用。这取决于您的服务器端框架，将来服务器端框架必须根据该cookie/令牌进行身份验证。通过这样做，您不需要在客户机上存储密码，这是主要的安全问题。