Authentication 如果使用SSL,是否仍需要使用摘要身份验证?
这可能是一个愚蠢的问题,但我是否可以只使用基本HTTP身份验证就安全地删除它,或者即使服务器已经在SSL上,我是否仍然可以从摘要身份验证中获益?跨SSL基本身份验证对于大多数需要来说足够安全 如果您的服务器能够直接在中配置密码(即,如果它不需要知道密码本身,但可以使用MD5配置用户密码),那么通过使用SSL/TLS上的HTTP摘要身份验证,您将获得的唯一优势是防止将用户密码泄露给服务器本身(用户名:realm:password),无需清除密码,请参见示例) 实际上,这并不是一个很大的优势。如果需要从服务器上保护密码本身,有更好的选择(特别是因为现在MD5还不够好)Authentication 如果使用SSL,是否仍需要使用摘要身份验证?,authentication,ssl,https,basic-authentication,digest-authentication,Authentication,Ssl,Https,Basic Authentication,Digest Authentication,这可能是一个愚蠢的问题,但我是否可以只使用基本HTTP身份验证就安全地删除它,或者即使服务器已经在SSL上,我是否仍然可以从摘要身份验证中获益?跨SSL基本身份验证对于大多数需要来说足够安全 如果您的服务器能够直接在中配置密码(即,如果它不需要知道密码本身,但可以使用MD5配置用户密码),那么通过使用SSL/TLS上的HTTP摘要身份验证,您将获得的唯一优势是防止将用户密码泄露给服务器本身(用户名:realm:password),无需清除密码,请参见示例) 实际上,这并不是一个很大的优势。如果需
SSL/TLS层已经提供了HTTP摘要身份验证的其他功能(通过form/HTTP Basic)。请注意,截至2015年,摘要支持SHA-256和SHA-512/256: