在 URL 中传递的 HTTP 基本身份验证凭据和加密

发布于 2024-08-30 04:46:45 字数 591 浏览 4 评论 0原文

我有关于 HTTPS 和 HTTP 身份验证凭据的问题。

假设我使用 HTTP 身份验证保护 URL：

<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>

然后我通过 HTTPS 从远程系统访问该 URL，并在 URL 中传递凭据：

https://gooduser:[email protected]/webcallback?foo=bar

用户名和密码是否会自动进行 SSL 加密？ GET 和 POST 也是如此吗？我很难找到包含此信息的可靠来源。

原文

I have a question about HTTPS and HTTP Authentication credentials.

Suppose I secure a URL with HTTP Authentication:

<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>

I then access that URL from a remote system via HTTPS, passing the credentials in the URL:

https://gooduser:[email protected]/webcallback?foo=bar

Will the username and password be automatically SSL encrypted? Is the same true for GETs and POSTs? I'm having a hard time locating a credible source with this information.

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

回忆凄美了谁 2024-09-06 04:46:45

用户名和密码会自动进行 SSL 加密吗？ GET 和 POST 也是如此

是的，是的。

使用 SSL 时，整个通信（如果主机名的 IP 尚未缓存，则除了 DNS 查找之外）都会被加密。

回复收藏 0 原文

小嗷兮 2024-09-06 04:46:45

是的，它将被加密。

如果您简单地检查一下幕后发生的事情，您就会明白。

浏览器或应用程序将首先分解 URL 并尝试使用 DNS 查询获取主机的 IP。即：将发出 DNS 请求来查找域的 IP 地址 (www.example.com)。请注意，不会通过此请求发送任何其他信息。
浏览器或应用程序将使用从 DNS 请求收到的 IP 地址发起 SSL 连接。证书将被交换，这发生在传输级别。此时不会传输任何应用程序级别信息。请记住，基本身份验证是 HTTP 的一部分，而 HTTP 是应用程序级协议。 不是传输层任务。
建立 SSL 连接后，现在必要的数据将传递到服务器。即：路径或URL、参数和基本身份验证用户名和密码。

回复收藏 0 原文