本文探讨了 HTTP 请求中 server 返回两种认证方式(basic 和 digest)的可能性及安全性问题。虽然技术上可行,但从安全角度考虑并不推荐此做法。
即client发起http请求,http server配置了http auth认证机制,由server选择返回具体的认证方式;
server是否可以返回两种认证方式,basic和digest,由client来选择?
可以,但不建议使用,会降低系统安全性,比如:中间人攻击
参考:
RFC 2617 HTTP Authentication:Basic and Digest Access Authentication
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
