在不使用SSL的情况下，通过PHP Curl对localhost服务使用基本身份验证是否安全？_Php_Security_Rest_Curl_Basic Authentication

在不使用SSL的情况下，通过PHP Curl对localhost服务使用基本身份验证是否安全？

php security rest curl

在不使用SSL的情况下，通过PHP Curl对localhost服务使用基本身份验证是否安全？,php,security,rest,curl,basic-authentication,Php,Security,Rest,Curl,Basic Authentication,我有一个本地服务，可以通过HTTP REST API访问，该API需要基本身份验证。使用PHP Curl调用它通常安全吗 curl_setopt($ch, CURLOPT_URL, "http://localhost:XXXX/"); curl_setopt($ch, CURLOPT_USERPWD, $username . ":" . $password); 我的猜测是肯定的，因为它都是本地的，但我想我还是把它扔掉确认一下。SSL提供了两种形式的保护（它们相互补充和完善）：它阻止第三方在传

我有一个本地服务，可以通过HTTP REST API访问，该API需要基本身份验证。使用PHP Curl调用它通常安全吗

curl_setopt($ch, CURLOPT_URL, "http://localhost:XXXX/");
curl_setopt($ch, CURLOPT_USERPWD, $username . ":" . $password);

我的猜测是肯定的，因为它都是本地的，但我想我还是把它扔掉确认一下。

SSL提供了两种形式的保护（它们相互补充和完善）：

它阻止第三方在传输过程中读取您的流量

它允许你确认你与你认为与你有联系的人有联系

如果您不关心这两种形式的攻击，那么就不需要使用SSL加密。我赌的是本地连接，除非你的本地网络是一个政府机构或财富100强公司，否则你不太担心会受到损害，至少不会被任何足够聪明的东西所影响，除了在你的浏览器中弹出广告或发送垃圾邮件之外。如果你真的不走运，可能是一个键盘记录器，但这些东西都不会嗅探HTTP流量。

有关REST安全性，请检查OAuth 2.0，但如果你不想使用复杂的身份验证机制，你可以在通知HTTPS是本地的情况下使用HTTPS，但不要使用HTTP上的基本身份验证。

安全防范什么/谁？应该这么说“安全”而不是“安全”。“我更新了问题并添加了一些PHP。为什么从localhost向localhost发出curl请求效率很低。@Dagon-该服务只能通过HTTP REST访问。这是一个在Apache上运行的二进制文件。@Inator:针对什么/谁进行保护？非HTTPS环回不会有太多风险，这并不意味着更大的问题。