1
如果这是一个明显的问题,我很抱歉,为了保护网站,可以信任Apache 2.0 + SSL +基本身份验证吗?我看到它的方式是,SSL在客户端和服务器之间创建安全连接,因此任何包含明文密码的HTTP请求都不应该成为安全问题。Apache基本身份验证
感谢, S.
A
回答
2
你是正确的,基本身份验证是安全的,只要你能保证连接的端至端加密。这意味着您必须将服务器配置为强制SSL使用,方法是将HTTP请求重定向到HTTPS,或者完全不接受该URL的未加密连接。
0
“唯一的完全安全的计算机是一个被拔掉,关掉”
这就是说,如果你接受安全:)
相关问题
- 1. DBD基本身份验证Apache 2.2
- 2. 的Apache CXF基本身份验证
- 3. Apache Karaf中的基本身份验证
- 4. 基本身份验证改造+基本身份验证
- 5. 与基本身份验证的HTTP基本身份验证
- 6. Apache基本身份验证和瓶子令牌验证
- 7. 基本socket.io身份验证
- 8. tomcat基本身份验证
- 9. CQ基本身份验证
- 10. Wcf基本身份验证
- 11. 基本HTTP身份验证
- 12. AngularJS基本身份验证
- 13. 基本身份验证
- 14. Ruby基本身份验证
- 15. 基本身份验证
- 16. CakePHP 2基本身份验证验证
- 17. OWIN身份验证与IIS基本身份验证
- 18. Ajax:HTTP基本身份验证和身份验证Cookie
- 19. RESTful端点的身份验证 - 基本身份验证和XHR
- 20. 禁用其他身份验证的HTTP基本身份验证
- 21. CakePHP 2.0身份验证和基本身份验证
- 22. 基本身份验证,回退到窗体身份验证
- 23. Authlogic - 通过基本HTTP身份验证进行身份验证
- 24. Apache本地主机身份验证
- 25. Apache LDAP身份验证Redmine
- 26. Apache身份验证刷新
- 27. Apache SSPI身份验证
- 28. apache httpclient + ntlm身份验证
- 29. 使用基于SAML的基本身份验证进行身份验证?
- 30. Apache Solr 5.3.1基本身份验证插件导致问题
感谢吉姆的SSL级别吉姆的回答是不够好,原来我很遗憾必须使用基于会话的身份验证,因为我必须能够注销用户。 –
你应该仍然强制SSL。同样的注意事项适用于基于表单的身份验证,因为必须传输密码。 –
您可以使用基本身份验证,类型来注销用户。这不是非常漂亮,Apache没有任何内置的方法来实现它。你需要做的是发布到'/ logout'脚本,当用户传递* correct * auth时返回401。然后您要求用户向auth对话提交错误的详细信息(通常是空的用户名/密码)。您的脚本会响应200或303,此时浏览器会转储正确的身份验证以支持非身份验证。 – bobince