Comment masquer le mot de passe dans une URL

Question

Il existe un script JSP pour la connexion à un serveur. Les informations d'identification de l'utilisateur sont actuellement acceptées via HTTP Header et le fichier login.jsp est conçu de telle sorte qu'une fois que l'utilisateur fournit des informations d'identification, l'utilisateur est redirigé vers un URL redirect contenant une URL complète contenant le nom d'utilisateur et le mot de passe. pour accéder à la page qu'il veut, mais le problème est que le mot de passe est visible dans la barre d'adresse du navigateur.

Alors, quels sont les moyens par lesquels je peux cacher le mot de passe de l'utilisateur dans l'URL.

Answer 1

Vous pouvez utiliser les paramètres http POST au lieu des paramètres GET dans la demande. Ils ne seront plus visibles dans la barre d'adresse URL.

Answer 2

Je ne sais pas JSP, mais vous devez propably utiliser POST request

Answer 3

En plus des suggestions ci-dessus en ce qui concerne l'utilisation des paramètres POST, si je vous, je reverraient probablement la façon dont la gestion de votre mot de passe est fait que vous ne devrait pas avoir besoin de passer des mots de passe en texte clair d'une page à l'autre dans votre application du tout.

Même si vous devez passer les mots de passe d'une page à une autre, vous devriez envisager de hacher le mot de passe puis de passer le hachage, puis laisser la page valider si le hachage est valide. valeurs hachées dans les

REMARQUE: Si vous stockez les mots de passe en clair dans la base de données, thats quelque chose des thats un non-pas aussi bien

Answer 4

d'autres ont suggéré l'utilisation POST, ce qui est la bonne méthode pour cela. Mais il ne suffit pas de garantir qu'un man-in-the-middle ne puisse pas voir le mot de passe. Afin d'éviter que vous devez activer TLS (SSL) sur votre serveur et servir la page sur https