0

Basic HTTP 認証でご存知のように、Authorization ヘッダーでは、Base64を使用して文字列をエンコードします。

username:password 

HTTP が実際にこれを期待する理由はわかりませんが、私の質問は Rest Web サービスにあります。userid:token ペアを保持するために使用するカスタムHTTP ヘッダーを使用する場合、 Base64 でなくても安全ですか? このまま平文で送ってもいいですか?

注: 私は HTTPS を使用しています。これは秘密の質問ではありません。

4

2 に答える 2

5

それらをBase64にしないことは安全ですか?

これらを base64 でエンコードしない場合、ユーザー名またはパスワードのテキスト文字の 1 つが有効な HTTP ヘッダー文字ではない可能性があります。これがアプリケーションの問題ではないことを確認するには、 HTTP RFCを調べる必要があります。

たとえば、アプリはパスワード内の空白を許可していますか? そういうもの...

または、ユーザー名/パスワードを base64 でエンコードするだけで、HTTP プロトコルに違反しないことを確認できます。

于 2013-01-03T15:44:22.430 に答える
2

カスタム ヘッダーを使用している場合は、必要に応じてプレーン テキストで送信できます。

ただし、基本的な HTTP プロトコルに固執する場合は、テストで標準ツールを使用でき、クライアントはヘッダーを追加するために手動で余分なコードを追加する必要がないため、可能であれば独自のヘッダーをローリングしないことをお勧めします。

于 2013-01-03T15:29:44.547 に答える