哪种身份验证方法在不安全的HTTP通道上是安全的?

时间:2016-07-19 05:26:46

标签: security http session authentication protocols

是否存在任何在不安全通道上安全的身份验证协议?会话ID很容易被MitM劫持,那么使用哪种机制在不安全的HTTP通道上保证会话安全?

2 个答案:

答案 0 :(得分:1)

对于HTTP,以下身份验证方案很有用。

  1. 基本rfc:7617
  2. 承载者rfc:6750
  3. 摘要rfc:7616
  4. HOBA rfc:7486请参阅第3节
  5. 互惠生rfc:8120
  6. AWS4-HMAC-SHA256 aws:docs

还可以找到很好的详细说明here

希望它有用。

答案 1 :(得分:0)

通过HTTP对服务器进行身份验证是有问题的,因为没有服务器证书,您无法确定是否实际与目标服务器进行通信。此外,发送到服务器的任何凭据都容易受到檐口的影响。

话虽如此,一旦服务器和客户端通过安全通道交换了密钥,就可以通过HTTP安全地使用身份验证协议。 HawkAWS signatures等协议不需要为每个后续请求提供HTTPS。

相关问题
最新问题