Apache基本身份验证_Apache_Authentication_Mod Auth

Apache基本身份验证

apache authentication

Apache基本身份验证,apache,authentication,mod-auth,Apache,Authentication,Mod Auth,如果这是一个显而易见的问题，我在此致歉：为了确保网站的安全，Apache2.0+SSL+基本身份验证可以被信任吗？在我看来，SSL在客户端和服务器之间创建了一个安全连接，因此任何包含明文密码的HTTP请求都不应该是安全问题谢谢， S.您是对的，只要您能保证连接是端到端加密的，基本身份验证是安全的。这意味着您必须将服务器配置为通过将HTTP请求重定向到HTTPS强制使用SSL，或者根本不接受该URL的未加密连接。“唯一完全安全的计算机是一台已拔出并关闭的计算机。” 也就是说，如果您接受SSL级别

如果这是一个显而易见的问题，我在此致歉：为了确保网站的安全，Apache2.0+SSL+基本身份验证可以被信任吗？在我看来，SSL在客户端和服务器之间创建了一个安全连接，因此任何包含明文密码的HTTP请求都不应该是安全问题

谢谢，

您是对的，只要您能保证连接是端到端加密的，基本身份验证是安全的。这意味着您必须将服务器配置为通过将HTTP请求重定向到HTTPS强制使用SSL，或者根本不接受该URL的未加密连接。

“唯一完全安全的计算机是一台已拔出并关闭的计算机。”

也就是说，如果您接受SSL级别的安全性，Jim的回答就足够了：）

谢谢Jim，不幸的是，我必须使用基于会话的身份验证，因为我还必须能够注销用户。您仍然应该强制使用SSL。同样的注意事项也适用于基于表单的身份验证，因为必须传输密码。您可以使用基本身份验证注销用户。它并不十分漂亮，Apache也没有内置任何方法来实现这一点。您需要做的是发布到

/logout

脚本，当用户通过正确的身份验证时，该脚本将返回401。然后要求用户向auth对话框提交错误的详细信息（通常为空用户名/密码）。您的脚本响应200或303，此时浏览器将转储正确的身份验证以支持非身份验证。