HTTP basic authentication + HTTPS 的组合似乎也挺安全的

2023-03-18 18:39:59 +08:00

gowl

你们觉得呢？

2289 次点击

所在节点

奇思妙想

15 条回复

vitovan

2023-03-18 18:52:47 +08:00

就是丑。

iseki

2023-03-18 19:05:56 +08:00

把 Authorization 头给占了，有时候可能有坑

yunser

2023-03-18 19:18:48 +08:00

信息安全看短板。传输过程是安全了，客户端怎么保存账密就是安全瓶颈了。

MFWT

2023-03-18 19:31:59 +08:00

感觉可以，但是还是不建议直接传输明文密码（ Base64 就是明文），加盐 Hash 一下也要的

xiangyuecn

2023-03-18 20:20:25 +08:00

没有区别，放 header 里还是放 body 里仅此而已

ospider

2023-03-18 20:44:15 +08:00

本来就是最佳实践啊

lopssh

2023-03-18 20:45:40 +08:00

没懂，还有其它组合吗？

pocarisweat

2023-03-18 20:46:08 +08:00

相当于每次都要提交最原始的登录信息，登录状态容易不可控，而且退出登录也不够方便

leonshaw

2023-03-18 21:03:06 +08:00

服务端校验密码是比较重的操作，尤其是 bcrypt 这种抗攻击 hash

gowl

2023-03-18 22:36:52 +08:00

@iseki

> 把 Authorization 头给占了，有时候可能有坑

能有什么坑呢？

codehz

2023-03-18 22:37:04 +08:00

密码本身就不安全了，更别说还要传输，加密也不行，cdn 也可以解密
这边建议用无密码的方式认证，用 webauthn api ，双方都不需要存储和记忆密码

gowl

2023-03-18 22:38:37 +08:00

@lopssh

> 没懂，还有其它组合吗？

相对于所谓“现代”的机遇 session token 的认证方式

IvanLi127

2023-03-19 01:06:07 +08:00

@leonshaw 好像 web 服务会缓存

iseki

2023-03-19 12:59:26 +08:00

@gowl 哦，我误会了，你是指自己的东西要用这种方式认证吗，也不是不行

iseki

2023-03-19 13:00:15 +08:00

另外每个请求都传输主密码是非常不安全的行为

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/925126

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.