1
是否存在任何在不安全通道上安全的认证协议?会话ID很容易被MitM劫持,所以使用哪种机制在不安全的HTTP信道上保证会话安全?哪些认证方法在不安全的HTTP通道上安全?
A
回答
0
通过HTTP对服务器进行身份验证是有问题的,因为没有服务器证书,您无法确定您实际上是否与预期的服务器通信。而且,发送到服务器的任何凭证都易于甩掉。
话虽如此,一旦服务器和客户端通过安全通道交换密钥,就可以通过HTTP安全地使用身份验证协议。像Hawk或AWS signatures这样的协议不需要每个后续请求都使用HTTPS。
相关问题
- 1. 混合安全和不安全通道
- 2. 调用安全方法,无需认证
- 3. spring安全3认证方法
- 4. 安全和不安全的win32方法
- 5. 如何知道本地方法是安全/不安全的?
- 6. 弹簧安全不认证
- 7. WCF安全认证
- 8. Servlet安全认证
- 9. API认证安全
- 10. 春季安全HTTP基本认证
- 11. 如何增强HTTP认证安全性?
- 12. 不安全和安全的HTTP
- 13. 春季安全方法安全拦截器不拿起认证管理器
- 14. 通过SSL的HTTP验证安全?
- 15. Spring安全方法HTTP应用程序中的安全级别
- 16. 确定哪些内容已安全传递,哪些不是安全内容
- 17. 如何在几种方法上禁用弹簧安全认证
- 18. Symfony2的 - 安全认证
- 19. Facebook的OAuth认证安全
- 20. 的RabbitMQ - 安全/认证
- 21. codeigniter中的安全认证
- 22. Android的安全HTTP通信
- 23. 在创建MVC动作时选择安全和不安全的HTTP方法
- 24. 安全:http在spring安全配置?
- 25. 通过URL进行Spring安全认证
- 26. Spring安全中的HTTP基本认证安全性来自SQL注入
- 27. ASP.Net安全Ajax认证
- 28. SOAP-WS安全头认证
- 29. MQJMS2013无效安全认证
- 30. Spring安全认证问题
我猜_unsecured HTTP channel_是一个没有SSL的频道?所以没有这样的方法。 – Opal