如何改进 HTTP 基本身份验证？

Question

我目前正在开发一个基于 Zend Framework 的 API 站点。由于 ZF 对 Digest Authentication 的支持不够，现在转移到另一个框架为时已晚，我正在考虑实现 Basic Authentication。

Basic 和 Digest 实际上并不是执行身份验证的理想方式，而 Digest 更好，但不幸的是 Zend 不太支持（正确实现它需要太多工作，需要尽快完成项目）。 Basic auth 的一大问题是密码是以明文形式发送的。我在考虑不是以明文形式发送密码，而是可以使用单向散列算法/ bcrypt 以某种方式对其进行散列以避免以明文形式发送密码吗？但它仍然遭受中间人攻击。

但是，如果将基本身份验证与当前大多数 Web 应用使用的基于表单的身份验证进行比较，它们在将请求传输到服务器时是否都存在相同的安全问题？

Answer 1

保持请求安全的最佳选择是对身份验证请求使用 SSL，以确保信息不会以明文形式发送。

如果您在发送身份验证请求之前尝试在客户端上进行某种散列或加密，您会立即将散列算法和您可能使用的任何盐暴露给恶意用户。这使得他们可以对您的服务器使用字典攻击。

但是如果比较基本 使用当前基于表单的身份验证 大多数网络应用程序使用的身份验证， 他们都共享同一个 传输时的安全问题 对服务器的请求？

绝对是。同样，对于基于表单的身份验证，您最好的选择是使用 SSL。

或者，您可以考虑使用外部身份验证服务，例如 OAuth。

Answer 2

嗯，Zend 框架有一个用于身份验证的摘要适配器？

Manual: Zend Digest Authentication

Answer 3

您始终可以为 HTTP 身份验证编写自己的 Zend_Auth_Adapter。我实现了Zend_Auth_Adapter_Http_Resolver_Interface，每天都有不同的密码，格式为默认密码+天+月。像魅力一样工作！