通过SSL/TLS的PLAIN验证
答
由于SSL/TLS连接已经加密,因此将密码作为普通文本发送不会损害任何内容。你也可以加密密码,但是你只需要对它进行双重加密。在大多数情况下,我会认为这是多余的。
有一种情况我可以想到,如果您选择使用证书而不是密码进行身份验证,您可以通过SSL/TLS使用PLAIN之外的其他位置。否则,我会把它放在PLAIN上。
答
如果你确定如果没有SSL,你永远不会使用你的应用程序,那么瑞恩是绝对正确的。 SSL位于表示层,每当套接字连接建立时,SSL握手就会首先发生,其中包括主机验证,会话密钥交换和创建安全传输层。一旦建立了安全通道并且交换的数据使用会话密钥进行加密,并因此通信无论如何都是安全的,应用层的通信就会发生。
但是,如果您的应用程序可以选择使用/不使用SSL,那么您应该分别对密码进行加密。在SSL上工作时,这将是多余的,否则它是必要的。
有人应该将此问题迁移到服务器故障,我想... – 2012-03-06 19:09:57
被标记为移动到超级用户。 – 2012-03-06 19:21:29