我想使用HTTPS来保护客户端和服务器之间的通信。第一次加密通信将用于用户身份验证,即检查他/她的用户名和密码。
在服务器成功检查用户凭证之后,我希望能够在随后的请求中获取一些数据。但是,服务器如何确定后续请求是由已经通过凭证检查的用户发送的呢?
由于TCP连接可能在登录和随后的HTTPS请求之间关闭,这意味着SSL上下文必须被服务器释放,因此需要建立新的TCP连接并进行新的SSL(TLS)握手(即双方必须交换新的共享加密密码等)。
为此,我认为服务器需要在初始身份验证请求的200 OK响应中向客户端发送一些随机生成的nonce(有效时间内),我将在每个随后的请求中包含它,以便服务器可以基于这些随机生成的nonce检测出哪个用户发出了请求,并检查该用户是否已经登录。我的理解正确吗?
非常感谢您的回复。
在服务器成功检查用户凭证之后,我希望能够在随后的请求中获取一些数据。但是,服务器如何确定后续请求是由已经通过凭证检查的用户发送的呢?
由于TCP连接可能在登录和随后的HTTPS请求之间关闭,这意味着SSL上下文必须被服务器释放,因此需要建立新的TCP连接并进行新的SSL(TLS)握手(即双方必须交换新的共享加密密码等)。
为此,我认为服务器需要在初始身份验证请求的200 OK响应中向客户端发送一些随机生成的nonce(有效时间内),我将在每个随后的请求中包含它,以便服务器可以基于这些随机生成的nonce检测出哪个用户发出了请求,并检查该用户是否已经登录。我的理解正确吗?
非常感谢您的回复。