这是一个专门讨论 idea 的地方。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
HTTP basic authentication + HTTPS 的组合似乎也挺安全的
gowl 2023-03-18 18:39:59 +08:00 2979 次点击/small>这是一个创建于 987 天前的主题,其中的信息可能已经有所发展或是发生改变。
你们觉得呢?
15 条回复 2023-03-19 13:00:15 +08:00
 | 1 vitovan 2023-03-18 18:52:47 +08:00 就是丑。 |
 | 2 iseki 2023-03-18 19:05:56 +08:00 把 Authorization 头给占了,有时候可能有坑 |
 | 3 yunser 2023-03-18 19:18:48 +08:00 信息安全看短板。传输过程是安全了,客户端怎么保存账密就是安全瓶颈了。 |
 | 4 MFWT 2023-03-18 19:31:59 +08:00 感觉可以,但是还是不建议直接传输明文密码( Base64 就是明文),加盐 Hash 一下也要的 |
 | 5 xiangyuecn 2023-03-18 20:20:25 +08:00 没有区别,放 header 里 还是 放 body 里 仅此而已 |
 | 6 4BVL25L90W260T9U 2023-03-18 20:44:15 +08:00  1 本来就是最佳实践啊 |
 | 7 lopssh 2023-03-18 20:45:40 +08:00 via Android 没懂,还有其它组合吗? |
 | 8 pocarisweat 2023-03-18 20:46:08 +08:00 相当于每次都要提交最原始的登录信息,登录状态容易不可控,而且退出登录也不够方便 |
 | 9 leonshaw 2023-03-18 21:03:06 +08:00 1 服务端校验密码是比较重的操作,尤其是 bcrypt 这种抗攻击 hash |
 | 11 codehz 2023-03-18 22:37:04 +08:00 via iPhone 密码本身就不安全了,更别说还要传输,加密也不行,cdn 也可以解密 这边建议用无密码的方式认证,用 webauthn api ,双方都不需要存储和记忆密码 |
| td width="auto" valign="top" align="left"> |
Select Language