那些遇到过的问题

在HTTP Basic Auth的URL中传递用户名和密码

igo*_*ivo 4 http basic-authentication http-headers

传递URL中编码的用户名和密码时,例如: https:// Aladdin:OpenSesame@www.example.com/index.html

客户端实际上是通过Authorization标头发送的吗?对于这种URL编码,服务器端需要什么样的处理?

sha*_*ncs 7

客户端实际上是通过Authorization标头发送的吗?

这取决于客户是什么.如果客户端是浏览器,答案是否定的.这是实验结果:

  • 在Chrome中,不会发送授权标头.
  • 在Firefox中,不会发送授权标头.Firefox也会提示确认对话框,因为主动发送身份验证信息很奇怪.
  • 在Safari中,不会发送授权标头.Safari还将首先显示警告页面,因为它怀疑该URL属于钓鱼网站.
  • 在Opera中,不会发送任何授权标头.
  • 我在Mac上,无法在IE/Edge上运行实验.但根据其他浏览器的合理行为,我猜IE/Edge的行为是一样的.无论如何,如果有人参加实验并获得结果,我会很感激.

一般来说,出于安全原因,浏览器将忽略在URL中主动发送的身份验证信息.

但是,如果客户端是开发工具,则可以在base64中对身份验证信息进行编码,并将其作为授权标头发送.这是一些实验结果:

  • 在curl中,是的,发送授权标头.
  • 在Postman中,不会发送授权标头.

是否发送授权标头取决于工具的设计.

对于这种URL编码,服务器端需要什么样的处理?

在服务器端,您需要做的就是从Authorization标头获取base64编码的字符串,对其进行解码,并检查它是否有效.

如果在示例URL中使用HTTP协议会有什么不同吗?

为了安全起见,是的,通过HTTP的授权标头是非常不安全的.Base64编码/解码不会带来任何安全性好处,它可以被所有人解码.

否则,他们是一样的.

归档时间:

查看次数:

11743 次

最近记录:

8 年,5 月 前
相关归档
Angular 2 Http获取响应示例 17
在ASP.NET Core中获取强类型头类 15
常用的PKCS标准是什么:PKCS#7,PKCS#10和PKCS#12? 13
使用openid作为静态内容身份验证的最简单方法 12
为 POST 请求返回 200 Ok HTTP 状态是否正确? 11
当HTTPS不可选时,通过HTTP保护数据传输 9
是否可以通过HTTP接收无序响应? 7
Angular 4 - Http请求错误:您在预期的流中提供了"undefined" 7
告诉是否有人直接访问我的HTTP资源? 5
java.lang.ClassNotFoundException: io.quarkus.runtime.Quarkus 3
难疑归档
如何从JavaScript中删除数组中的特定元素? 7655
适用于Android UserManager.isUserAGoat()的用例? 3506
从Git中的分支中删除提交 3035
makefile中.PHONY的目的是什么? 1535
将文件从主机复制到Docker容器 1391
为什么在重写Equals方法时重写GetHashCode很重要? 1371
如何在git中按名称命名和检索存储? 1276
如何在Ruby中将字符串转换为小写或大写 1081
获取Oracle中所有表的列表? 1073
致命错误:Python.h:没有这样的文件或目录 1042