在HTTP Basic Auth的URL中传递用户名和密码

时间:2017-05-05 06:29:58

标签: http http-headers basic-authentication

传递URL中编码的用户名和密码时,例如: https://Aladdin:OpenSesame@www.example.com/index.html

客户端实际上是在Authorization标头中发送了吗? 服务器端需要哪种处理才能进行这种URL编码?

1 个答案:

答案 0 :(得分:6)

客户端实际上是通过授权标头发送此内容吗?

这取决于客户是什么。如果客户端是浏览器,答案是否定的。以下是实验结果:

  • 在Chrome中,不会发送任何授权标头。
  • 在Firefox中,不会发送授权标头。 Firefox也会提示确认对话框,因为主动发送身份验证信息很奇怪。
  • 在Safari中,不会发送授权标头。 Safari还将首先显示警告页面,因为它怀疑该URL属于钓鱼网站。
  • 在Opera中,不会发送任何授权标头。
  • 我在Mac上无法在IE / Edge上进行实验。但根据其他浏览器的合理行为,我猜IE / Edge的行为是一样的。无论如何,如果有人参加实验并得到结果,我会很感激。

一般来说,出于安全原因,浏览器会忽略在URL中主动发送的身份验证信息。

但是,如果客户端是开发工具,则可以在base64中对身份验证信息进行编码,并将其作为授权标头发送。以下是一些实验结果:

  • 在卷曲中,是的,发送授权标题。
  • 在Postman中,不会发送授权标题。

是否发送授权标头取决于工具的设计。

此类网址编码需要在服务器端进行哪种处理?

在服务器端,您需要做的就是从Authorization标头获取base64编码的字符串,对其进行解码,并检查它是否有效。

如果在示例网址中使用HTTP协议会有什么不同吗?

为了安全起见,是的,通过HTTP的授权标头是非常不安全的。 Base64编码/解码不会带来任何安全性好处,可以被所有人解码。

否则,它们是相同的。

相关问题
最新问题