HTTP basic authentication + HTTPS 的组合似乎也挺安全的

2023-03-18 18:39:59 +08:00
 gowl

你们觉得呢?

2546 次点击
所在节点    奇思妙想
15 条回复
vitovan
2023-03-18 18:52:47 +08:00
就是丑。
iseki
2023-03-18 19:05:56 +08:00
把 Authorization 头给占了,有时候可能有坑
yunser
2023-03-18 19:18:48 +08:00
信息安全看短板。传输过程是安全了,客户端怎么保存账密就是安全瓶颈了。
MFWT
2023-03-18 19:31:59 +08:00
感觉可以,但是还是不建议直接传输明文密码( Base64 就是明文),加盐 Hash 一下也要的
xiangyuecn
2023-03-18 20:20:25 +08:00
没有区别,放 header 里 还是 放 body 里 仅此而已
ospider
2023-03-18 20:44:15 +08:00
本来就是最佳实践啊
lopssh
2023-03-18 20:45:40 +08:00
没懂,还有其它组合吗?
pocarisweat
2023-03-18 20:46:08 +08:00
相当于每次都要提交最原始的登录信息,登录状态容易不可控,而且退出登录也不够方便
leonshaw
2023-03-18 21:03:06 +08:00
服务端校验密码是比较重的操作,尤其是 bcrypt 这种抗攻击 hash
gowl
2023-03-18 22:36:52 +08:00
@iseki

> 把 Authorization 头给占了,有时候可能有坑

能有什么坑呢?
codehz
2023-03-18 22:37:04 +08:00
密码本身就不安全了,更别说还要传输,加密也不行,cdn 也可以解密
这边建议用无密码的方式认证,用 webauthn api ,双方都不需要存储和记忆密码
gowl
2023-03-18 22:38:37 +08:00
@lopssh

> 没懂,还有其它组合吗?

相对于所谓“现代”的机遇 session token 的认证方式
IvanLi127
2023-03-19 01:06:07 +08:00
@leonshaw 好像 web 服务会缓存
iseki
2023-03-19 12:59:26 +08:00
@gowl 哦,我误会了,你是指自己的东西要用这种方式认证吗,也不是不行
iseki
2023-03-19 13:00:15 +08:00
另外每个请求都传输主密码是非常不安全的行为

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/925126

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX