使用TLS/SSL(HTTPS)加密时是否加密了所有URL?我想知道,因为我希望在使用TLS/SSL(HTTPS)时隐藏所有URL数据.
如果TLS/SSL为您提供全面的URL加密,那么我不必担心从URL隐藏机密信息.
我正在一个仪表板类型的网站上工作.我们在php中实现了一个登录页面,该页面针对LDAP服务器进行身份验证.我们还有一个Check_MK页面,它有自己的登录对话框,可以针对同一个LDAP服务器进行身份验证.我希望用户不必在Check_MK登录对话框中重新输入他们的凭据.我希望输入到我们的php登录页面的凭据可以传递给Check_MK,这样就可以在没有用户交互的情况下完成身份验证.这可能吗?如果是这样,我该怎么办?
为那些标记为过宽的人编辑,请解释.
通过在本网站上描述的网址传递用户名和密码,我可以通过check_MK自动登录:http://stichl.at/2014/04/check_mk-multisite-auto-login/
我不认为这对我来说是一个可行的选择,因为它似乎是不安全的,因为在这个问题中详细说明将登录凭证作为HTTPS URL中的纯文本传递是否安全?
虽然是开源的,但由于其GNU许可证,我无法修改checkMK login.py文件.除了通过纯文本URL传递凭证外,如何使用提供给我的php登录页面的凭据自动登录check_MK页面?
下面是我打开Check_MK登录界面的php/html代码.
<script type="text/javascript">
var version = global.dashboard_version;
console.log("version = " + version);
var url = global.ips[version+"_nagios_iframe"];
var suffix = <?php echo "'".
'&_username='.
$_SESSION['username'].
'&_password='.
$_SESSION['password'].
"&_login=1'";?>;
console.log("suffix = "+suffix);
url = url + suffix;
console.log("url = "+url);
document.getElementById("nagiosiframe").src = url;
</script>
可在此处找到Check_MK登录代码:https://github.com/sileht/check_mk/blob/master/web/htdocs/login.py
相关函数称为do_login,位于第147行.
具体来说,我不知道如何以安全的方式将我的会话变量(用户名和密码)的值传递给login.py代码.
这是我第一次接触这些语言和技术.即使是搜索术语建议也会受到赞赏.
如果我要创建一个以下列方式处理登录的应用程序,我应该关注什么:
http://api.myApp.example/printSomething/username/password/
与基于POSTed用户详细信息(用户名+密码)的普通登录页面相比,它有多不安全?有区别吗?
谢谢