如果您使用SSL,是否还需要使用摘要式身份验证?

时间:2012-08-12 16:02:42

标签: authentication ssl https basic-authentication digest-authentication

这可能是一个愚蠢的问题,但我可以安全地使用基本的HTTP身份验证,或者即使服务器已经在SSL上,我仍然可以从摘要身份验证中受益吗?

2 个答案:

答案 0 :(得分:13)

通过SSL / TLS使用HTTP摘要身份验证可以获得的唯一好处是,如果您的服务器能够直接在"HA1 format"中配置密码,则可以防止向服务器本身泄露用户密码(即如果它不需要知道密码本身,但可以使用 MD5(用户名:领域:密码)配置用户密码,而无需清除密码,请参阅{{3}例如)。

在实践中,这不是一个很大的优势。如果需要从服务器保护密码本身,还有更好的选择(特别是因为MD5现在还不够好)。

SSL摘要身份验证的其他功能(通过表单/ HTTP Basic)已由SSL / TLS层提供。

答案 1 :(得分:6)

跨越ssl基本身份验证足以满足大多数需求。