这可能是一个愚蠢的问题,但我可以安全地使用基本HTTP认证吗?或者即使服务器已经在SSL上,我是否仍然受益于摘要认证?如果您使用SSL,还需要使用摘要式身份验证吗?
18
A
回答
13
你会使用SSL之上的HTTP摘要式身份验证获得的唯一好处/ TLS是为了防止用户密码泄露到服务器本身,如果你的服务器能够直接与密码被配置在"HA1 format"(即如果它不需要知道密码本身,但用户密码可以配置为MD5(用户名:realm:密码),而不需要密码清晰,例如参见Apache Httpd)。
实际上,这并不是一个很大的优势。如果需要从服务器保护密码本身,则有更好的选择(特别是因为现在MD5不够好)。
SSL摘要认证(over form/HTTP Basic)的其他功能已由SSL/TLS层提供。
6
通过ssl基本认证对于大多数需求来说足够安全。
相关问题
- 1. 身份验证系统需要ssl吗?
- 2. 使用摘要式身份验证来使用Web服务
- 3. Glassfish摘要身份验证
- 4. HTTP摘要身份验证
- 5. Groovy摘要身份验证
- 6. 如何使用Selenium进行摘要式身份验证?
- 7. 如何使用AFNetworking 2与摘要式身份验证
- 8. 你如何使用JMeter与摘要式身份验证?
- 9. 如何使用摘要身份验证手动进行身份验证?
- 10. 需要关于SIP摘要式身份验证的帮助
- 11. django中的摘要式身份验证
- 12. Keystone摘要式身份验证
- 13. HttpRequestMessage和摘要式身份验证
- 14. GlassFish SHA-256摘要式身份验证
- 15. 摘要式身份验证与Tomcat的
- 16. 摘要式身份验证WP 8.1
- 17. HTTPS&摘要式身份验证
- 18. 在Java中使用摘要式身份验证的Java HTTP PUT
- 19. 在iPhone上使用HTTP摘要式身份验证
- 20. 使用摘要式身份验证的Swagger UI
- 21. 使用自定义登录的摘要式身份验证
- 22. 对单个路由使用HTTP摘要式身份验证
- 23. 使用PHP + Apache的摘要式身份验证
- 24. 使用Jersey客户端进行摘要式身份验证
- 25. 使用MD5进行PHP摘要式身份验证
- 26. 使用URLConnection的摘要式身份验证
- 27. 使用Jetty Websocket客户端的摘要式身份验证
- 28. 通过WSO2 ESB使用HTTP摘要式身份验证
- 29. 如何使用CherryPy摘要身份验证获取用户名
- 30. 如何使用libcurl检测摘要身份验证失败?
请注意,截至2015年,Digest支持SHA-256和SHA-512/256:https://tools.ietf.org/html/rfc7616#section-3.2 – 2017-11-20 21:18:57