在 URL 中传递的 HTTP 基本身份验证凭据和加密

发布于 2024-08-30 04:46:45 字数 591 浏览 5 评论 0原文

我有关于 HTTPS 和 HTTP 身份验证凭据的问题。

假设我使用 HTTP 身份验证保护 URL:

<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>

然后我通过 HTTPS 从远程系统访问该 URL,并在 URL 中传递凭据:

https://gooduser:[email protected]/webcallback?foo=bar

用户名和密码是否会自动进行 SSL 加密? GET 和 POST 也是如此吗?我很难找到包含此信息的可靠来源。

I have a question about HTTPS and HTTP Authentication credentials.

Suppose I secure a URL with HTTP Authentication:

<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>

I then access that URL from a remote system via HTTPS, passing the credentials in the URL:

https://gooduser:[email protected]/webcallback?foo=bar

Will the username and password be automatically SSL encrypted? Is the same true for GETs and POSTs? I'm having a hard time locating a credible source with this information.

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(3

回忆凄美了谁 2024-09-06 04:46:45

用户名和密码会自动进行 SSL 加密吗? GET 和 POST 也是如此

是的,是的。

使用 SSL 时,整个通信(如果主机名的 IP 尚未缓存,则除了 DNS 查找之外)都会被加密。

Will the username and password be automatically SSL encrypted? Is the same true for GETs and POSTs

Yes, yes yes.

The entire communication (save for the DNS lookup if the IP for the hostname isn't already cached) is encrypted when SSL is in use.

小嗷兮 2024-09-06 04:46:45

是的,它将被加密。

如果您简单地检查一下幕后发生的事情,您就会明白。

  1. 浏览器或应用程序将首先分解 URL 并尝试使用 DNS 查询获取主机的 IP。即:将发出 DNS 请求来查找域的 IP 地址 (www.example.com)。请注意,不会通过此请求发送任何其他信息。
  2. 浏览器或应用程序将使用从 DNS 请求收到的 IP 地址发起 SSL 连接。证书将被交换,这发生在传输级别。此时不会传输任何应用程序级别信息。请记住,基本身份验证是 HTTP 的一部分,而 HTTP 是应用程序级协议。 不是传输层任务。
  3. 建立 SSL 连接后,现在必要的数据将传递到服务器。即:路径或URL、参数和基本身份验证用户名和密码。

Yes, it will be encrypted.

You'll understand it if you simply check what happens behind the scenes.

  1. The browser or application will first break down the URL and try to get the IP of the host using a DNS Query. ie: A DNS request will be made to find the IP address of the domain (www.example.com). Please note that no other information will be sent via this request.
  2. The browser or application will initiate a SSL connection with the IP address received from the DNS request. Certificates will be exchanged and this happens at the transport level. No application level information will be transferred at this point. Remember that the Basic authentication is part of HTTP and HTTP is an application level protocol. Not a transport layer task.
  3. After establishing the SSL connection, now the necessary data will be passed to the server. ie: The path or the URL, the parameters and basic authentication username and password.
泅渡 2024-09-06 04:46:45

不一定是真的。它将在网络上加密,但仍以纯文本形式记录在日志中

Not necessarily true. It will be encrypted on the wire however it still lands in the logs plain text

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文