我有一个 HTTPD apache 服务器,它进行 LDAP 身份验证。当用户点击 URL http://localhost/ 时,会弹出浏览器提示,要求输入用户名和密码。
- 用户名和密码是如何从浏览器传输到 HTTPD 服务器的?它们是否真的通过网络传输到服务器?如果是,它们是否经过加密?
- 浏览器提示是否比直接在网站登录页面输入凭据更安全?
需要简单解释一下身份验证如何进行。
答案1
答案2
两个回答你的第二个问题:
浏览器提示是否比直接在网站登录页面输入凭据更安全?
不。
“浏览器提示”,基本 HTTP 身份验证,只有一个可取之处,而且其名称说明了一切,它是您可以使用的最基本、最简单的身份验证方案。
但这种简单性并不能提供良好的安全性。
这些缺点很多都是隐藏的,AlexD 已经在这个答案但你的用户可能会注意到:
- 没有“退出”方法