这是对用户进行身份验证的安全方法吗?
Is this a secure way to authenticate users?
我是 运行 一个小型本地 HTTP 服务器,它允许我通过 GET 请求管理配置文件。但是,这个操作需要密码,所以我想出了以下解决方案:
假设密码是test123。
我使用 SHA-512 对密码进行哈希处理,并将其保存到我的网络服务器上的一个 .txt 文件中。当我想获取配置文件 main.json 时,我会发送这个请求:
http://192.168.178.72/config.php?mode=get&file=main&password=test123
这样做安全吗?
不,因为如您所见,凭据显示在 url 上,请改用 POST。
不,您应该改用 https 和 POST 请求以避免在 url.
中打印密码
只要您使用 http,每次连接或连接尝试都可能受到中间人攻击。
使用 https 和适当的证书固定可以避免这种情况
我是 运行 一个小型本地 HTTP 服务器,它允许我通过 GET 请求管理配置文件。但是,这个操作需要密码,所以我想出了以下解决方案:
假设密码是test123。
我使用 SHA-512 对密码进行哈希处理,并将其保存到我的网络服务器上的一个 .txt 文件中。当我想获取配置文件 main.json 时,我会发送这个请求:
http://192.168.178.72/config.php?mode=get&file=main&password=test123
这样做安全吗?
不,因为如您所见,凭据显示在 url 上,请改用 POST。
不,您应该改用 https 和 POST 请求以避免在 url.
中打印密码只要您使用 http,每次连接或连接尝试都可能受到中间人攻击。 使用 https 和适当的证书固定可以避免这种情况