这可能是一个愚蠢的问题,但我可以安全地使用基本的HTTP身份验证,或者即使服务器已经在SSL上,我仍然可以从摘要身份验证中受益吗?
答案 0 :(得分:13)
通过SSL / TLS使用HTTP摘要身份验证可以获得的唯一好处是,如果您的服务器能够直接在"HA1 format"中配置密码,则可以防止向服务器本身泄露用户密码(即如果它不需要知道密码本身,但可以使用 MD5(用户名:领域:密码)配置用户密码,而无需清除密码,请参阅{{3}例如)。
在实践中,这不是一个很大的优势。如果需要从服务器保护密码本身,还有更好的选择(特别是因为MD5现在还不够好)。
SSL摘要身份验证的其他功能(通过表单/ HTTP Basic)已由SSL / TLS层提供。
答案 1 :(得分:6)
跨越ssl基本身份验证足以满足大多数需求。