将授权标头从服务器发送到客户端是否安全?

时间:2015-07-06 14:34:43

标签: security http https basic-authentication

我正在设置一个新应用。一切都是通过非HTTPS。只是HTTP。无论如何,在用户登录服务器后,向客户端发送一个很好的200,并且:

{
"user": {
    "_id": "5595bb294cbed176e7594e79",
    "username": "ckent1000",
    "email": "clarkcando@gmail.com",
    "roles": {
        "account": {
            "id": "5597089bbde23bf2179dba46",
            "name": "superman"
        }
    }
},
"session": {
    "userId": "5595bb294cbed176e7594e79",
    "key": "6c5c2ed4-77f9-4038-b175-e9fb927c1b22",
    "time": "2015-07-06T14:31:58.175Z",
    "_id": "559a915e53723a85eaf75ea9"
},
"authHeader": "Basic NTU5YTkxNWU1MzcyM2E4NWVhZjc1ZWE5OjZjNWMyZWQ0LTc3ZjktNDAzOC1iMTc1LWU5ZmI5MjdjMWIyMg=="

}

那很酷吗?我的圣人智慧表明,这不是因为这是通过HTTP。

1 个答案:

答案 0 :(得分:3)

HTTP基本身份验证以明文传输凭据(即,在传输过程中或之后可以访问数据包的任何人都可以读取)。它们采用Base-64编码进行传输,但这提供了无机密性

如果您计划使用基本身份验证,必须保护与TLS的通信。

有关详细信息,请参阅https://en.wikipedia.org/wiki/Basic_access_authentication

相关问题
最新问题