我想知道在HTTP摘要式身份验证中使用HTTPS是否有任何缺点。我之所以选择HTTP Digest是因为它非常容易合并到api,但它不是最安全的,因为它使用MD5并且它在中间攻击中易受人类攻击。将HTTP摘要式身份验证与HTTPS结合使用可以提供更好的解决方案,我非常感谢任何建议。感谢
答案 0 :(得分:1)
使用HTTP摘要认证肯定比使用HTTPS更好,因为加密隧道是在发送凭证之前形成的。这(部分)否定了基本身份验证和摘要身份验证的MITM风险。
当然,如果你的系统是这样构建的,那么客户端可能会意外地命中一个不正确的端点或者仍然通过HTTP访问它(而不是只是不监听80),那么凭证仍然会被不安全地传输。