这是一个专门讨论 idea 的地方。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
HTTP basic authentication + HTTPS 的组合似乎也挺安全的
gowl · 2023-03-18 18:39:59 +08:00 · 2915 次点击这是一个创建于 957 天前的主题,其中的信息可能已经有所发展或是发生改变。
你们觉得呢?
15 条回复 • 2023-03-19 13:00:15 +08:00
 |
1
vitovan 2023-03-18 18:52:47 +08:00
就是丑。
|
 |
2
iseki 2023-03-18 19:05:56 +08:00
把 Authorization 头给占了,有时候可能有坑
|
 |
3
yunser 2023-03-18 19:18:48 +08:00
信息安全看短板。传输过程是安全了,客户端怎么保存账密就是安全瓶颈了。
|
 |
4
MFWT 2023-03-18 19:31:59 +08:00
感觉可以,但是还是不建议直接传输明文密码( Base64 就是明文),加盐 Hash 一下也要的
|
 |
5
xiangyuecn 2023-03-18 20:20:25 +08:00
没有区别,放 header 里 还是 放 body 里 仅此而已
|
 |
6
4BVL25L90W260T9U 2023-03-18 20:44:15 +08:00  1
本来就是最佳实践啊
|
 |
7
lopssh 2023-03-18 20:45:40 +08:00 via Android
没懂,还有其它组合吗?
|
 |
8
pocarisweat 2023-03-18 20:46:08 +08:00
相当于每次都要提交最原始的登录信息,登录状态容易不可控,而且退出登录也不够方便
|
 |
9
leonshaw 2023-03-18 21:03:06 +08:00 1
服务端校验密码是比较重的操作,尤其是 bcrypt 这种抗攻击 hash
|
 |
11
codehz 2023-03-18 22:37:04 +08:00 via iPhone
密码本身就不安全了,更别说还要传输,加密也不行,cdn 也可以解密
这边建议用无密码的方式认证,用 webauthn api ,双方都不需要存储和记忆密码 |
|
15
iseki 2023-03-19 13:00:15 +08:00
另外每个请求都传输主密码是非常不安全的行为
|
Select Language