基本身份验证与 GET 参数
Basic authentication vs GET parameters
我想创建一个受密码保护的秘密页面。
要访问秘密页面,用户不必手动输入任何内容。相反,应该有一个 secret link,其中包含直接通往秘密页面的密码。我们假设这个秘密 link 仅在受信任方之间共享。
我想到了两个方案:
- https://user:secretpassword@www.example.com/secret
- https://www.example.com/secret?user=user&password=secretpassword
只通过 HTTP 发出请求,一个比另一个更安全吗?
它们实际上同样不安全,即使通过 https 进行通信也是如此。
问题是您无法阻止您的用户在 link 中看到用户名和密码。如果用户可以看到它,就真的没有办法保证它的安全了。
此外,根据 Web 服务器配置,这些用户名和密码最终可能会出现在服务器日志等中。
确保 HTTP 请求来自您的 Web 应用程序的唯一方法是对用户进行身份验证并使用适当的访问控制保护页面。
我想创建一个受密码保护的秘密页面。 要访问秘密页面,用户不必手动输入任何内容。相反,应该有一个 secret link,其中包含直接通往秘密页面的密码。我们假设这个秘密 link 仅在受信任方之间共享。
我想到了两个方案:
- https://user:secretpassword@www.example.com/secret
- https://www.example.com/secret?user=user&password=secretpassword
只通过 HTTP 发出请求,一个比另一个更安全吗?
它们实际上同样不安全,即使通过 https 进行通信也是如此。
问题是您无法阻止您的用户在 link 中看到用户名和密码。如果用户可以看到它,就真的没有办法保证它的安全了。
此外,根据 Web 服务器配置,这些用户名和密码最终可能会出现在服务器日志等中。
确保 HTTP 请求来自您的 Web 应用程序的唯一方法是对用户进行身份验证并使用适当的访问控制保护页面。