IMB*_*IMB 18 authentication ssl https basic-authentication digest-authentication
这可能是一个愚蠢的问题,但我可以安全地使用基本的HTTP身份验证,或者即使服务器已经在SSL上,我仍然可以从摘要身份验证中受益吗?
Bru*_*uno 13
通过SSL/TLS使用HTTP摘要式身份验证可以获得的唯一优势是,如果您的服务器能够直接配置"HA1格式"的密码(即,如果它没有),则可以防止向服务器本身泄露用户密码不需要知道密码本身,但是可以使用MD5(用户名:域:密码)配置用户密码,而不需要明确密码,例如参见Apache Httpd.
在实践中,这不是一个很大的优势.如果需要从服务器保护密码本身,则有更好的选择(特别是因为MD5现在无论如何都不被认为是足够好的).
SSL摘要身份验证的其他功能(通过表单/ HTTP Basic)已由SSL/TLS层提供.
| 归档时间: |
|
| 查看次数: |
2711 次 |
| 最近记录: |