我正在建立一个通过https服务的服务。
我想知道当数据“通过线路”时,在curl选项CURLOPT_USERPWD中传输的密码(或任何特定密钥)是否安全?
答案 0 :(得分:2)
通过HTTPS发送的所有数据都是加密的。这意味着服务器和客户端之间的任何人都很难(但并非不可能)查看请求的原始数据。
如果您想完全了解使用HTTP基本身份验证的潜在后果,您应该完全理解how it works。
由于HTTP是纯文本协议,因此非常不安全。 HTTPS只是使用encrypted socket的HTTP - 这意味着请求/响应格式本身完全不变。如果您可以查看请求的纯文本版本,您可以从中收集任何您喜欢的信息。但是,使用SSL / TLS使得查看纯文本版本非常困难。
HTTP Basic auth本质上容易受到中间人攻击,并且永远不会在未加密的连接上使用,但使用HTTPS会使其相当安全。唯一的考虑因素是服务器能够以纯文本格式查看密码 - 如果您不希望这种情况发生,您应该使用Digest auth,HTTPS或其他方式。
答案 1 :(得分:0)
是的,密码将不可见,因为它是通过网络加密发送的,但很可能(不完全确定),在目标网站上运行的脚本(在您的情况下是服务),将能够看到你的密码。