问如何向spring boot restful how服务发送密码

EN

要快速启动并运行它，请在POST请求中发送密码，使其在URL中不可见。

通常，在登录期间，密码将发送到服务器，而不是其散列。该网站需要是https，以避免攻击者嗅探密码。

此外，对服务器的所有后续请求都可以使用称为X-Auth-Token的令牌(由服务器提供)。此令牌作为cookie存储在用户的计算机上，并且可以具有会话失效的过期时间。

在服务器端，密码应该以Bcrypt建议的加密方式存储。

除了POST和Hashing之外，还有更多关于web安全的内容。我建议看Rob Winch的(前2) excellent video presentations。他是Spring Security项目的负责人。

好消息是，Spring boot使得这些复杂的解决方案中的许多都很容易配置。查看the same site和this repo，了解其他类似功能的实现。

最常见的方法是使用POST请求，并在有效负载对象中包含用户名和加密密码。因此，在后端，您将使用@RequestBody接收它。

如上所述，基本的散列客户端并没有真正的意义，因为客户端无论如何都会知道散列算法，所以实际上不会隐藏任何东西。使用HTTPS可确保没有人可以读取您的wire数据。你可以在维基百科上阅读更多关于HTTPS和公钥/私钥的内容。

您可以将密码放在主体中，也可以将其作为Authorization头部，如"Authorization"："Basic username: password“。(https://en.wikipedia.org/wiki/Basic_access_authentication)。URL通常是不好的，因为人们喜欢将粘贴的URL复制到电子邮件中，等等。

重要的是，这应该换成一个不包含密码的令牌。如果这是一个web应用程序，那么您将存储在HTML5本地存储中或存储为cookie。如果是Android/iOS，他们有办法存储为“首选项”。

我写了一些关于不同令牌和存储它们的方法的信息：https://www.moesif.com/blog/technical/restful-apis/Authorization-on-RESTful-APIs/