V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
gowl
V2EX  ›  奇思妙想

HTTP basic authentication + HTTPS 的组合似乎也挺安全的

  •  
  •   gowl · 2023-03-18 18:39:59 +08:00 · 2538 次点击
    这是一个创建于 642 天前的主题,其中的信息可能已经有所发展或是发生改变。

    你们觉得呢?

    15 条回复    2023-03-19 13:00:15 +08:00
    vitovan
        1
    vitovan  
       2023-03-18 18:52:47 +08:00
    就是丑。
    iseki
        2
    iseki  
       2023-03-18 19:05:56 +08:00
    把 Authorization 头给占了,有时候可能有坑
    yunser
        3
    yunser  
       2023-03-18 19:18:48 +08:00
    信息安全看短板。传输过程是安全了,客户端怎么保存账密就是安全瓶颈了。
    MFWT
        4
    MFWT  
       2023-03-18 19:31:59 +08:00
    感觉可以,但是还是不建议直接传输明文密码( Base64 就是明文),加盐 Hash 一下也要的
    xiangyuecn
        5
    xiangyuecn  
       2023-03-18 20:20:25 +08:00
    没有区别,放 header 里 还是 放 body 里 仅此而已
    ospider
        6
    ospider  
       2023-03-18 20:44:15 +08:00   ❤️ 1
    本来就是最佳实践啊
    lopssh
        7
    lopssh  
       2023-03-18 20:45:40 +08:00 via Android
    没懂,还有其它组合吗?
    pocarisweat
        8
    pocarisweat  
       2023-03-18 20:46:08 +08:00
    相当于每次都要提交最原始的登录信息,登录状态容易不可控,而且退出登录也不够方便
    leonshaw
        9
    leonshaw  
       2023-03-18 21:03:06 +08:00   ❤️ 1
    服务端校验密码是比较重的操作,尤其是 bcrypt 这种抗攻击 hash
    gowl
        10
    gowl  
    OP
       2023-03-18 22:36:52 +08:00
    @iseki

    > 把 Authorization 头给占了,有时候可能有坑

    能有什么坑呢?
    codehz
        11
    codehz  
       2023-03-18 22:37:04 +08:00 via iPhone
    密码本身就不安全了,更别说还要传输,加密也不行,cdn 也可以解密
    这边建议用无密码的方式认证,用 webauthn api ,双方都不需要存储和记忆密码
    gowl
        12
    gowl  
    OP
       2023-03-18 22:38:37 +08:00
    @lopssh

    > 没懂,还有其它组合吗?

    相对于所谓“现代”的机遇 session token 的认证方式
    IvanLi127
        13
    IvanLi127  
       2023-03-19 01:06:07 +08:00 via Android
    @leonshaw 好像 web 服务会缓存
    iseki
        14
    iseki  
       2023-03-19 12:59:26 +08:00
    @gowl 哦,我误会了,你是指自己的东西要用这种方式认证吗,也不是不行
    iseki
        15
    iseki  
       2023-03-19 13:00:15 +08:00
    另外每个请求都传输主密码是非常不安全的行为
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3357 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 11:22 · PVG 19:22 · LAX 03:22 · JFK 06:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.