如何改进 HTTP 基本身份验证？

Question

我目前正在开发一个基于 Zend Framework 的 API 站点。由于 ZF 对摘要式身份验证没有足够的支持，而且现在转向另一个框架为时已晚，因此我正在考虑实施基本身份验证。

Basic 和 Digest 实际上并不是执行身份验证的理想方式，Digest 更好，但不幸的是 Zend 不太支持（正确实现它需要太多工作，需要尽快完成项目）。基本身份验证的一大问题是密码以明文形式发送。我在想，我可以不以明文形式发送密码，而是使用单向散列算法/bcrypt 对它进行散列，以避免以明文形式发送密码吗？但它仍然遭受中间人攻击。

但是，如果将基本身份验证与当前大多数 Web 应用程序使用的基于表单的身份验证进行比较，它们在将请求传输到服务器时是否都存在相同的安全问题？

Answer 1

确保请求安全的最佳选择是对身份验证请求使用 SSL，以确保信息不会以明文形式发送。

如果您在发送身份验证请求之前尝试在客户端上进行某种哈希或加密，则会立即向恶意用户暴露您的哈希算法和可能使用的任何盐。这使得他们可以对您的服务器使用字典攻击。

但是如果比较基本的
使用当前基于表单的身份验证
大多数网络应用程序使用的身份验证，
他们都共享相同的吗
传输时的安全问题
向服务器发出请求？

绝对是。同样，对于基于表单的身份验证，您最好的选择是使用 SSL。

或者，您可以考虑使用外部身份验证服务，例如 OAuth。

Answer 2

嗯，Zend Framework 有一个用于身份验证的摘要适配器吗？

手册：Zend Digest 身份验证

Answer 3

您始终可以编写自己的 Zend_Auth_Adapter 来进行 HTTP 身份验证。我实现了 Zend_Auth_Adapter_Http_Resolver_Interface ，每天都有不同的密码，格式为默认密码+日期+月份。效果就像一个魅力！