Question

Я создал REST API, который использует Basic HTTP аутентификация.Только для SSL.Теперь, когда это реализовано, я слышу критику, что Basic HTTP через SSL не является безопасным.Для меня было бы вредом «остановить прессу» для этого проекта, и это было бы за рамками некоторых навыков моих клиентов, чтобы использовать OAuth и т. Д. Мне нужно понять риск и выгоды этого метода.Любые примеры громких имен, использующих Basic HTTP-аутентификацию, будут также полезны в качестве поддержки.

Marcelo Cantos · Answer 1 · 26 июля 2011

Базовая аутентификация HTTP через SSL в основном безопасна, с оговорками.Проблемы безопасности в основном возникают из-за использования Basic auth без SSL, и в этом случае имя пользователя и пароль подвергаются MITM .В браузере также существуют проблемы с истекшим сроком действия учетных данных, но это не является большой проблемой для служб REST.

Yahia · Answer 2 · 26 июля 2011

возможно, я в заблуждение, но я не вижу проблемы с SSL только BASIC ... особенноне с API без сохранения состояния.Если вызывающие абоненты вынуждены использовать прокси-сервер, прослушивающий SSL, то BASIC означает, что пароль доступен в виде открытого текста для прокси ... в этом конкретном случае дайджест будет лучше (даже с SSL), потому что прокси не будет знать пароль(Дайджест означает ответ на вызов ...).

Каковы плюсы и минусы базовой HTTP-аутентификации

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Каковы плюсы и минусы базовой HTTP-аутентификации

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы