【问题标题】:Basic authentication vs GET parameters基本身份验证与 GET 参数
【发布时间】:2015-03-27 05:31:44
【问题描述】:

我想创建一个受密码保护的秘密页面。 要访问秘密页面,用户不必手动输入任何内容。相反,应该有一个包含密码的秘密链接,该链接将直接通往秘密页面。我们假设此秘密链接仅在受信任方之间共享。

我想到了两个选择:

仅通过 HTTPs 发出的请求,是否比另一个更安全?

【问题讨论】:

    标签: security get basic-authentication


    【解决方案1】:

    即使通过 https 进行通信,它们实际上都同样不安全。

    问题是您不能阻止您的用户看到链接中的用户名和密码。如果用户可以看到它,那真的没有办法保证它的安全。

    此外,根据网络服务器配置,这些用户名和密码可能最终会出现在服务器日志等中。

    确保 HTTP 请求来自您的 Web 应用程序的唯一方法是验证用户身份并使用适当的访问控制保护页面。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2011-06-30
      • 2013-04-11
      • 2021-01-31
      • 2017-07-23
      • 1970-01-01
      • 2015-12-08
      • 2015-07-22
      相关资源
      最近更新 更多