我想创建一个受密码保护的秘密页面。 要访问秘密页面,用户不必手动输入任何内容。相反,应该有一个包含密码的秘密链接,该密码将直接导致秘密页面。我们假设这个秘密链接仅在可信方之间共享。
我想到了两个选择:
仅通过HTTP进行请求比另一个更安全吗?
答案 0 :(得分:0)
即使通过https进行通信,它们实际上也同样不安全。
问题在于,您无法阻止用户在链接中看到用户名和密码。如果用户可以看到它,那么就没有办法保证它的安全。
此外,根据Web服务器配置,这些用户名和密码最终可能会出现在服务器日志等中。
确保HTTP请求来自您的Web应用程序的唯一方法是对用户进行身份验证并使用适当的访问控制来保护页面。