0

我想知道将 HTTPS 与 HTTP 摘要身份验证一起使用是否有任何缺点。我选择 HTTP Digest 是因为它很容易集成到 api 中,但它不是最安全的,因为它使用 MD5 并且容易受到中间人攻击。将 HTTP Digest Authentication 与 HTTPS 结合会是一个更好的解决方案还是一个坏的解决方案。我将不胜感激任何建议。谢谢

4

1 回答 1

1

HTTPS 使用 HTTP Digest 身份验证肯定更好,因为加密隧道是在发送凭据之前形成的。这(部分)否定了基本身份验证和摘要身份验证创建的 MITM 的风险。

当然,如果您的系统被构建为客户端可能会意外命中不正确的端点或仍然通过 HTTP 访问它(而不仅仅是不监听 80),那么凭据仍将不安全地传输。

于 2013-05-25T00:59:12.343 回答