Basic HTTP認証を使用するREST APIを作成しました。 IsはSSLのみに制限されています。 SSLの基本的なHTTPが安全でないという批判を受けています。私が "プレスを止める"というプロジェクトにとっては有害で、OAuthなどを使用するクライアントのスキルの範囲外になるでしょう。私はこの方法のリスクと報酬を理解する必要があります。 Basic HTTP authを使用するビッグネームの例は、サポートとしても役立ちます。基本的なHTTP認証の賛否両論
SSLによる基本的なHTTP認証は、基本的に安全です。セキュリティの問題は、基本認証( SSLなし)が主に発生します。この場合、ユーザー名とパスワードはMITMに公開されます。ブラウザでは、資格情報の期限切れにも問題がありますが、これはRESTサービスの問題ではありません。
私は誤解しているかもしれませんが、SSLのみで問題は発生しません。ステートレスなAPIではありません。
発信者がSSLスニッフィングプロキシを使用するように強制された場合、BASICは、パスワードがプロキシに平文で利用可能であることを意味します。この特定のケースでは、プロキシは、パスワード(ダイジェストはチャレンジレスポンスを意味します)。
スニッフィングプロキシは、実際のサーバーの証明書を盗むことができないか、クライアントにSSLの全体的なポイントである偽の証明書を信頼させることができない限りSSL上で動作しません。 –
社内に大企業があり、従業員のコンピュータに追加のルート証明書をインストールすることで、プロキシ上でSSLを盗聴できるようになります。既製の製品も現場で販売されています(prerequesiteは常に追加のルート証明書コントロールしている) – Yahia
良い点。私は自分のコンピュータがスニッチになる可能性は考慮しなかった。 –