如果你使用SSL,还需要使用摘要身份验证吗?

内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用

  • 回答 (2)
  • 关注 (0)
  • 查看 (15)

这可能是一个愚蠢的问题,但我可以安全地使用基本的HTTP认证吗?或者即使服务器已经在SSL上,我是否仍然从摘要认证中受益?

提问于
用户回答回答于

如果你的服务器能够直接使用“HA1格式”配置密码(例如,如果它不能通过SSL / TLS使用HTTP摘要身份验证,你将获得的唯一好处是防止将用户密码泄露给服务器本身不需要知道密码本身,但是可以用MD5(用户名:realm:密码)配置用户密码,而不需要密码清晰,例如,请参阅Apache Httpd)。

在实践中,这并不是一个很大的优势。如果需要从服务器保护密码本身,则有更好的选择(特别是因为现在MD5不够好)。

HTTP摘要认证(over form / HTTP Basic)的其他功能已由SSL / TLS层提供。

用户回答回答于

跨SSL的基本身份验证足以满足大多数需求。

扫码关注云+社区