6
我已经创建了一个使用Basic HTTP认证的REST API。仅限于SSL。现在它已经实现了,我听到了基于SSL的基本HTTP不安全的批评。这对我来说“停止媒体报道”是不利的,这将超出我的一些客户使用OAuth技能的范围,我需要了解这种方法的风险和回报。任何使用基本HTTP认证的大名字的例子都会对支持也有帮助。基本HTTP认证有什么优点和缺点
A
回答
7
通过SSL的基本HTTP认证基本上是安全的,有注意事项。安全问题主要来自使用基本验证码而没有 SSL,在这种情况下,用户名和密码将暴露给MITM。在浏览器中,还存在过期凭证的问题,但这对于REST服务并不是什么问题。
2
也许我误导了,但我没有看到SSL只有BASIC的问题......尤其是,而不是使用无状态的API。
如果呼叫者被迫使用SSL嗅探代理,那么BASIC意味着密码以明文形式提供给代理...在这个特定情况下,摘要会更好(即使使用SSL),因为代理不会知道密码(摘要意味着挑战反应......)。
相关问题
- 1. has_many和has_one,有什么优点/缺点?
- 2. 使用Maven有什么优点/缺点?
- 3. py2exe有什么优点/缺点
- 4. Fpgui和lcl和qt有什么优点和缺点?
- 5. 认知服务OCR优点和缺点
- 6. git submodule和Repo有什么优点和缺点?
- 7. UIImageView和CCSprite之间有什么优点和缺点?
- 8. Dockerfile的docker pull和docker build有什么优点和缺点?
- 9. asset_packager和Jammit有什么优点和缺点?
- 10. 有历史表有什么优点和缺点?
- 11. Core Data,Firebase和Realm有什么区别?他们有什么优点和缺点?
- 12. 使用交叉遗传算子有什么优点和缺点?
- 13. 通过UITableView嵌入式UITableViewController有什么优点和缺点?
- 14. 从JRE5升级到JRE8有什么优点和缺点?
- 15. 使用IOC容器有什么优点和缺点?
- 16. MSTest和NUnit相比有什么优点/缺点?
- 17. 定期重建索引有什么优点和缺点
- 18. Plotly vs Jupyter仪表板有什么优点和缺点?
- 19. 这些插件有什么优点和缺点?
- 20. 使用flags枚举有什么优点和缺点?
- 21. 在这种情况下有什么优点和缺点?
- 22. 使用Docker Vs Vanilla LXC有什么优点和缺点?
- 23. Perl对OOP有什么优点和缺点?
- 24. svn2git --svn-branches参数有什么优点和缺点
- 25. 使用Meteor-Roles有什么优点和缺点?
- 26. 每班定义错误代码有什么优点和缺点?
- 27. DynamoDB相对于Google Cloud Datastore有什么优点和缺点
- 28. 在Heroku上,Delayed Job vs RabbitMQ有什么优点和缺点?
- 29. 继承junit测试课有什么优点和缺点?
- 30. 输出缓冲有什么优点和缺点?
嗅探代理不能通过SSL工作,除非他们可以窃取真实服务器的证书,或者让客户端信任伪造证书,这是SSL的全部要点。 –
有大公司在那里在员工的计算机上安装额外的根证书,以便他们可以在代理上嗅探SSL - 即使是一些现成的产品在现场出售(prerequesite始终是安装额外的根证书代理已经控制了) – Yahia
好点。我没有考虑过我自己的电脑是否可能成为这种流言。 –