Security 仅用于登录的SSL安全通信？

我已经读到，当仅在登录时使用SSL时，您无法真正保护API，但在我看来，类似的东西可以启用它：

• 客户端通过SSL连接，发送凭据，并接收会话ID cookie以及会话机密
• API调用是通过普通的旧HTTP/Anywhere进行的，但包括一个timestap+nonce和一个散列（payload+timestamp+nonce+secret），服务器可以重新生成该散列，以验证客户端是否拥有该秘密并防止重播

---

我遗漏了什么使这一点不安全？

仅使用HTTPS输入密码然后退回HTTP的站点容易受到多种攻击，包括会话cookie窃听（又名Firesheep）和MITM攻击。这就是为什么这些站点是不安全的，安全人员建议使用站点范围的SSL；仅将HTTPS用于密码输入的站点“做错了”

下面的链接包含您的答案。该链接似乎是关于在没有SSL的情况下登录，但我感兴趣的是使用SSL建立会话并检索会话机密，然后使用该机密对明文有效负载进行签名。@Sophistifunk:所以你想确保完整性/真实性，而不是机密性？还是我遗漏了什么？是的，基本上。对于那些如果有人知道你在做什么并不重要的事情，只要除了你之外没有人能做：）对不起，我不理解你的评论