这可能是一个愚蠢的问题,但我可以只使用基本的 HTTP 身份验证安全地取消,还是即使服务器已经在 SSL 上我仍然可以从摘要身份验证中受益?
问问题
3130 次
2 回答
15
通过 SSL/TLS 使用 HTTP Digest 身份验证获得的唯一好处是,如果您的服务器能够直接配置“HA1 格式”的密码(即如果它没有不需要知道密码本身,但是可以使用MD5(username:realm:password)来配置用户密码,而不需要明文密码,参见Apache Httpd示例)。
实际上,这并不是一个很大的优势。如果需要保护密码本身不受服务器的影响,还有更好的选择(特别是因为现在 MD5 被认为还不够好)。
SSL/TLS 层已经提供了 HTTP Digest 身份验证的其他功能(通过表单/HTTP Basic)。
于 2012-08-12T16:11:50.850 回答
6
跨 ssl 基本身份验证足以满足大多数需求。
于 2012-08-12T16:05:50.290 回答