6
我已經創建了一個使用Basic HTTP認證的REST API。僅限於SSL。現在它已經實現了,我聽到了基於SSL的基本HTTP不安全的批評。這對我來說「停止媒體報道」是不利的,這將超出我的一些客戶使用OAuth技能的範圍,我需要了解這種方法的風險和回報。任何使用基本HTTP認證的大名字的例子都會對支持也有幫助。基本HTTP認證有什麼優點和缺點
A
回答
7
通過SSL的基本HTTP認證基本上是安全的,有注意事項。安全問題主要來自使用基本驗證碼而沒有 SSL,在這種情況下,用戶名和密碼將暴露給MITM。在瀏覽器中,還存在過期憑證的問題,但這對於REST服務並不是什麼問題。
2
也許我誤導了,但我沒有看到SSL只有BASIC的問題......尤其是,而不是使用無狀態的API。
如果呼叫者被迫使用SSL嗅探代理,那麼BASIC意味着密碼以明文形式提供給代理...在這個特定情況下,摘要會更好(即使使用SSL),因爲代理不會知道密碼(摘要意味着挑戰反應......)。
相關問題
- 1. has_many和has_one,有什麼優點/缺點?
- 2. 使用Maven有什麼優點/缺點?
- 3. py2exe有什麼優點/缺點
- 4. Fpgui和lcl和qt有什麼優點和缺點?
- 5. 認知服務OCR優點和缺點
- 6. git submodule和Repo有什麼優點和缺點?
- 7. UIImageView和CCSprite之間有什麼優點和缺點?
- 8. Dockerfile的docker pull和docker build有什麼優點和缺點?
- 9. asset_packager和Jammit有什麼優點和缺點?
- 10. 有歷史表有什麼優點和缺點?
- 11. Core Data,Firebase和Realm有什麼區別?他們有什麼優點和缺點?
- 12. 使用交叉遺傳算子有什麼優點和缺點?
- 13. 通過UITableView嵌入式UITableViewController有什麼優點和缺點?
- 14. 從JRE5升級到JRE8有什麼優點和缺點?
- 15. 使用IOC容器有什麼優點和缺點?
- 16. MSTest和NUnit相比有什麼優點/缺點?
- 17. 定期重建索引有什麼優點和缺點
- 18. Plotly vs Jupyter儀表板有什麼優點和缺點?
- 19. 這些插件有什麼優點和缺點?
- 20. 使用flags枚舉有什麼優點和缺點?
- 21. 在這種情況下有什麼優點和缺點?
- 22. 使用Docker Vs Vanilla LXC有什麼優點和缺點?
- 23. Perl對OOP有什麼優點和缺點?
- 24. svn2git --svn-branches參數有什麼優點和缺點
- 25. 使用Meteor-Roles有什麼優點和缺點?
- 26. 每班定義錯誤代碼有什麼優點和缺點?
- 27. DynamoDB相對於Google Cloud Datastore有什麼優點和缺點
- 28. 在Heroku上,Delayed Job vs RabbitMQ有什麼優點和缺點?
- 29. 繼承junit測試課有什麼優點和缺點?
- 30. 輸出緩衝有什麼優點和缺點?
嗅探代理不能通過SSL工作,除非他們可以竊取真實服務器的證書,或者讓客戶端信任僞造證書,這是SSL的全部要點。 –
有大公司在那裏在員工的計算機上安裝額外的根證書,以便他們可以在代理上嗅探SSL - 即使是一些現成的產品在現場出售(prerequesite始終是安裝額外的根證書代理已經控制了) – Yahia
好點。我沒有考慮過我自己的電腦是否可能成爲這種流言。 –