18
這可能是一個愚蠢的問題,但我可以安全地使用基本HTTP認證嗎?或者即使服務器已經在SSL上,我是否仍然受益於摘要認證?如果您使用SSL,還需要使用摘要式身份驗證嗎?
A
回答
13
你會使用SSL之上的HTTP摘要式身份驗證獲得的唯一好處/ TLS是爲了防止用戶密碼泄露到服務器本身,如果你的服務器能夠直接與密碼被配置在"HA1 format"(即如果它不需要知道密碼本身,但用戶密碼可以配置爲MD5(用戶名:realm:密碼),而不需要密碼清晰,例如參見Apache Httpd)。
實際上,這並不是一個很大的優勢。如果需要從服務器保護密碼本身,則有更好的選擇(特別是因爲現在MD5不夠好)。
SSL摘要認證(over form/HTTP Basic)的其他功能已由SSL/TLS層提供。
6
通過ssl基本認證對於大多數需求來說足夠安全。
相關問題
- 1. 身份驗證系統需要ssl嗎?
- 2. 使用摘要式身份驗證來使用Web服務
- 3. Glassfish摘要身份驗證
- 4. HTTP摘要身份驗證
- 5. Groovy摘要身份驗證
- 6. 如何使用Selenium進行摘要式身份驗證?
- 7. 如何使用AFNetworking 2與摘要式身份驗證
- 8. 你如何使用JMeter與摘要式身份驗證?
- 9. 如何使用摘要身份驗證手動進行身份驗證?
- 10. 需要關於SIP摘要式身份驗證的幫助
- 11. django中的摘要式身份驗證
- 12. Keystone摘要式身份驗證
- 13. HttpRequestMessage和摘要式身份驗證
- 14. GlassFish SHA-256摘要式身份驗證
- 15. 摘要式身份驗證與Tomcat的
- 16. 摘要式身份驗證WP 8.1
- 17. HTTPS&摘要式身份驗證
- 18. 在Java中使用摘要式身份驗證的Java HTTP PUT
- 19. 在iPhone上使用HTTP摘要式身份驗證
- 20. 使用摘要式身份驗證的Swagger UI
- 21. 使用自定義登錄的摘要式身份驗證
- 22. 對單個路由使用HTTP摘要式身份驗證
- 23. 使用PHP + Apache的摘要式身份驗證
- 24. 使用Jersey客戶端進行摘要式身份驗證
- 25. 使用MD5進行PHP摘要式身份驗證
- 26. 使用URLConnection的摘要式身份驗證
- 27. 使用Jetty Websocket客戶端的摘要式身份驗證
- 28. 通過WSO2 ESB使用HTTP摘要式身份驗證
- 29. 如何使用CherryPy摘要身份驗證獲取用戶名
- 30. 如何使用libcurl檢測摘要身份驗證失敗?
請注意,截至2015年,Digest支持SHA-256和SHA-512/256:https://tools.ietf.org/html/rfc7616#section-3.2 – 2017-11-20 21:18:57