我已經通過遵循其參考指南部署了具有基本身份驗證的Apache Solr 6.6.1。最後他們討論瞭如何在安全性方面使用捲曲。對於我的情況,我正在使用REST API來查詢SOLR。 由於基本身份驗證我正在使用此查詢。 https://user:[email protected]/solr/ ... 這樣我的用戶& paswd會暴露。我想知道最安全的方法使用REST API的基本身份驗證,這將不會暴露給外部世界。在Solr中使用REST進行基本身份驗證6.6.1
正如你可以看到here:
使用這些網址被棄用。在Chrome中,出於安全原因,甚至將URL中的用戶名:password @ 部分刪除。在Firefox中,如果網站實際需要身份驗證,則會檢查它是否爲 ,如果不是,則Firefox會通過提示「您將用用戶名」username「登錄到 網站」www.example.com「 ,但是 網站不需要認證,這可能是你試圖欺騙你。「
您不必暴露在你的網址,你應該增加一個「授權」頭對您的請求。該值將在Base64中編碼爲「用戶名:密碼」,這是不安全的,但由於您使用的是https,因此它將受到保護。
標題的完整值將類似於「Basic dXNlcm5hbWU6cGFzc3dvcmQ =」。它由認證類型(「Basic」)加上一個空白加上在Base64中編碼的「username:password」的值組成。
你能否給我提供一個這樣的例子? 如何形成這個(「基本dXNlcm5hbWU6cGFzc3dvcmQ =」)編碼值並在https請求中使用它。 ? –
這取決於你想要它。當您將身份驗證設置爲基本並提供憑據時,許多Rest客戶端(PostMan,ARC,...)會自動執行此操作。在Java中,你可以用這樣的東西來構建一個http客戶端:https://stackoverflow.com/a/3283496/4891223 –
我想用它作爲我們提供給瀏覽器地址欄的url,它應該返回數據而不提示登錄。我想要一個完整的URL格式,它具有基本身份驗證用戶&pswd,但以編碼形式。 –