我正在使用摘要式身份验证(CakePHP)构建API。我使用jQuery作为客户端及其用户名+密码"选项字段。 虽然一切运行良好,但我注意到Chrome浏览器控制台出现了一种非常奇怪的行为。
在" Headers"部分,请求URL以纯文本形式显示我的密码(从控制台粘贴):Request URL : http://my_username:my_password@project_api.dev/groups/
我害怕!这是正常的吗?如果打开控制台和嗅探请求,每个人都能看到我的密码吗?
我认为Digest Authentification相当安全,因为密码用哈希封装到"响应"键入"授权"头。我已经通过Safari控制台和Firefox控制台查看,似乎没有在请求网址中显示...
每个人都知道为什么它会在Chrome浏览器中展示?是否安全?
谢谢!
答案 0 :(得分:2)
如果你使用协议https它是安全的,因为你首先联系服务器获取他的证书,然后每个交易都会被加密,并且扩展名也是。
但必须使用https协议。您可以找到有关协议here的其他信息。