Security 来自HTTP客户端的安全HTTPS事务

从模式中，是否可以截获承载令牌、登录名和md5哈希密码

---

客户端是否也必须使用HTTPS来保护与REST API的事务/交换？

这取决于模式发生的位置。因此，如果它发生在VPN连接中，则可能不需要进一步加密通信

假设您的客户以“标准”方式访问登录页面，例如，您以后有一个登录页面，您希望能够通过任何计算机上的任何webbrowser访问该页面。这可能就是您正在寻找的（然后深入了解详细信息）：

登录名/密码：

如果客户机将这些信息提供给HTTP页面而不是HTTPS页面，则无论您随后如何处理这些数据，如果发送到该页面，都可以将其作为明文截获

代币

上图表明您正在获取登录凭据，对密码进行md5哈希，并将该信息转发到HTTPS安全页面，该页面将返回一个令牌（如果凭据错误，则不返回）

然而，HTTPS安全系统将把令牌发送回您，您将通过HTTP将其发送给客户端，这样它的明文也可以被拦截

您可能想要的：

---

正在让客户端建立到登录页面的HTTPs安全连接，传递HTTPs安全登录凭据，如果这些凭据有效，则在已建立的HTTPs安全连接中接收令牌

我更新了我的图表，使之更加明确。因此，客户端HTTP通过HTTPS REST API发送凭据。在这种情况下，它是安全的吗？是的，在这种情况下，它和HTTPS本身一样安全。