【发布时间】:2016-10-25 11:54:22
【问题描述】:
我目前正在连接一个使用基本身份验证的网站,我的网址看起来像 http://username:password@mysite.com。它可以工作,但每个人都可以看到密码;有什么方法可以通过base64或类似的方式隐藏它吗?
【问题讨论】:
【发布时间】:2016-10-25 11:54:22
【问题描述】:
此语法只是浏览器的快捷方式。有些浏览器会使用这种语法来构建授权标头(有些不会)。
但是。一件事是肯定的。 您将用户名+密码提供给所有人。如果您的站点使用基本身份验证,那么您需要向您的用户提供用户和密码信息,例如在电子邮件中。为什么要添加身份验证,然后让每个人都访问经过身份验证的部分?
HTTP 基本身份验证is not very secure。但可用于防止被机器人或 https 索引。当您添加这种(烦人的)弹出窗口时,用户将不得不输入凭据,没有其他方法。并且浏览器将记录凭据并为您网站上请求的每个页面添加相同的信息(用户+密码以 base64 编码——这意味着是明文,没有安全性——),直到浏览器关闭。因此,您无需在 url 上添加凭据,浏览器会在第一次弹出窗口后为您完成。
【讨论】:
-
感谢您的回复,但我确实需要在 URL 上添加凭据,因为它是无人值守的连接(网络信息亭之类的),我必须避免弹出窗口
-
如果您需要对最终用户隐藏此身份验证,则意味着您需要在 BtoB 模式下工作,您的应用程序将代理远程网站,并添加授权。
-
对不起@regliero,但我不明白你的意思;我没有任何应用程序,我的客户端是带有铬的覆盆子,我的服务器类似于 isa 服务器(Windows)。我使用 javascript 位置跳转到 url:line