0
我在安全的ASP.NET網站上有一個Web服務REST API,需要登錄才能工作。以編程方式請求用戶名/密碼的最安全方式是什麼? (剛加入?username=me&password=mysecret到URL似乎並不那麼安全,我(儘管這是一個HTTPS連接)保護REST API的用戶/密碼
A
回答
2
有幾種方法可以實現你所需要的:
- [錯路]可以將用戶名和密碼與查詢字符串一起傳遞,理論上這種做法沒有任何問題,但是這種URL(http://example.com?username=me&password=mysecret)通常由瀏覽器,代理等緩存,從而利用其他人可能會遇到的潛在風險使用這些存儲的數據訪問受保護的數據
- [好的方法]爲了消除與緩存b的能力有關的「幾乎所有」風險羅西斯,代理等,而且爲了使用HTTP協議的標準特性,你必須處理特殊的HTTP Authorization header。
的HTTP授權標頭:
如果使用HTTP 小號連接,則可以使用該方法Basic Access Authentication。
授權頭構造如下:
- 的用戶名和密碼被組合成一個字符串「用戶名:密碼」。
- 然後使用Base64編碼生成的字符串文字。
然後將授權方法和空間即「基本」放在編碼的字符串之前。
例如,如果用戶代理使用「阿拉丁」作爲用戶名和「芝麻開門」作爲密碼,然後報頭被形成爲如下:
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
如果使用HTTP連接,那麼你應該使用Digest Access Authentication方法。由於HTTPS連接更復雜且無用,因此如果您願意,我可以讓您詳細瞭解它(可能還有here)。
相關問題
- 1. 如何使用用戶名和密碼保護WCF Rest服務?
- 2. PHP的用戶的密碼保護
- 3. 保護GAE Rest API
- 4. 使用Token保護REST API
- 5. 用Spring Security保護REST API
- 6. 保護用戶的密碼 - Rfc2898DeriveBytes VS SHA512
- 7. 使用用戶名密碼保護URL
- 8. Rest API中的CSRF保護
- 9. 保護Play的REST API
- 10. 密碼保護
- 11. 如何保護用戶名,密碼,api_keys
- 12. 密碼保護用戶圖片專輯
- 13. 保護REST API和Slim Framework
- 14. 保護一個REST API
- 15. 保護用Play Framework開發的REST API
- 16. PHP密碼保護
- 17. 密碼保護sendEmail
- 18. PHP密碼保護
- 19. 密碼保護Python
- 20. Nginx密碼保護
- 21. 密碼保護.htaccess
- 22. PHP密碼保護
- 23. 密碼保護excel
- 24. 密碼保護PDF
- 25. 使用jQuery密碼保護
- 26. 密碼/密鑰保護
- 27. 保護密碼客戶端Firebase
- 28. 使用Spring Security和OAuth2保護Spring Rest - 用戶名/密碼公開
- 29. 使用REST API時,應用程序所有者的用戶密碼如何受到保護?
- 30. 保護數據保護密碼
我想強烈反對你的介紹性條款「理論上這種做法沒有錯」。將憑證放入URL中是完全錯誤的,即使在理論上也是如此 - 這與您陳述的原因完全相同。即使您使用SSL/TLS進行加密,也只會影響HTTP請求的內容。該URL始終以明文形式發送。因此,方案一不僅僅是利用潛在的風險,而是錯誤的。 – user2690527