【发布时间】:2012-08-09 01:13:24
【问题描述】:
这可能是一个愚蠢的问题,但我可以只使用基本的 HTTP 身份验证安全地取消,还是即使服务器已经在 SSL 上我仍然可以从摘要身份验证中受益?
【问题讨论】:
标签: authentication ssl https basic-authentication digest-authentication
【发布时间】:2012-08-09 01:13:24
【问题描述】:
如果您的服务器能够直接在"HA1 format" 中配置密码(即,如果不需要知道密码本身,但是用户密码可以用MD5(username:realm:password)来配置,不需要明文密码,比如Apache Httpd) .
实际上,这并不是一个很大的优势。如果需要保护密码本身不受服务器影响,还有更好的选择(特别是因为现在 MD5 被认为还不够好)。
HTTP Digest 身份验证的其他功能(通过表单/HTTP Basic)已由 SSL/TLS 层提供。
【讨论】:
-
请注意,截至 2015 年,Digest 支持 SHA-256 和 SHA-512/256:tools.ietf.org/html/rfc7616#section-3.2
跨 ssl 基本身份验证足够安全,可以满足大多数需求。
【讨论】: