我已按照参考指南部署Apache Solr 6.6.1并进行了基本身份验证。最后,他们讨论了如何使用curl和安全性。对于我的情况,我使用REST API来查询SOLR。 由于基本身份验证我正在使用此查询。 https://user:pswd@serverhost/solr/ ... 以这种方式我的用户& paswd会曝光。我想知道使用REST API进行基本认证的最安全的方法,不会暴露给外部世界。
答案 0 :(得分:0)
正如您所见here:
不推荐使用这些网址。在Chrome中,用户名:password @ 出于安全原因,甚至会删除URL中的部分内容。在Firefox中,它 检查网站是否实际需要身份验证,如果不是, Firefox将提示用户提示“您即将登录 网站“www.example.com”使用用户名“username”,但是 网站不需要身份验证。这可能是一种尝试 骗你。“。
您无需在网址中公开它,您应该在请求中添加“授权”标题。该值将在Base64中编码“username:password”,这不安全,但由于您使用的是https,因此它将受到保护。
标题的完整值将类似于“Basic dXNlcm5hbWU6cGFzc3dvcmQ =”。它由身份验证类型(“基本”)加上空格加上Base64中编码的“username:password”值组成。