从性能和安全的角度来看,HTTP 摘要式身份验证和 HTTPS 基本身份验证有何区别?
答案1
从性能角度来看,https需要一切加密:请求、响应和凭证。
这必然会比 HTTP 摘要式身份验证产生更多的服务器开销(CPU/时间、RAM),因为 HTTP 摘要式身份验证只是对AUTH凭证进行哈希处理,因此凭证不容易被拦截/窃取。
因此,在其他条件相同的情况下,https+ Basic Auth 将比http+ Digest Auth 慢。
慢多少?除了初始连接和 SSL 握手之外,您可能不会注意到任何变化。
这个答案的其余部分完全是从这个 Stack Overflow 问题覆盖完全相同的材料。
HTTP 摘要认证的优缺点在维基百科上关于该主题的文章——你应该读一下!
说白了:HTTP Digest Auth 只能保护您免于将明文密码丢失给攻击者(考虑到 MD5 安全状态,可能甚至不能做到这一点)。
然而,它很容易受到中间人攻击,而且——取决于实现,因为大多数高级功能都是可选的——重放、字典和其他形式的攻击。
然而,HTTPS 连接与受 Digest Auth 保护的 HTTP 连接之间的最大区别在于前者一切使用公钥加密来加密,而后者内容以明文形式发送。
至于性能:从上面提到的观点来看,应该很清楚,您得到的是您所支付的(CPU 周期)。
对于“灵活性”,我会选择:嗯?