認証を保護するための既存の HTTP プロトコルを探していますが、それに続くペイロードは探していません。サーバーにユーザー名、ハッシュされたパスワード、およびユーザーごとに異なるソルトを保存してもらいたいです。
すべてのアカウントが同じソルトを使用するため、HTTP ダイジェスト認証はこれらの要件を満たしていません。SSL は接続全体を暗号化するため失敗します。
追加するために編集:
これは、Web サービスと通信するデスクトップ クライアント用です (ブラウザは関係ありません)。
4 に答える
4
一般的なスキームは、ログイン フォームを SSL で保護し、サイトの残りの部分では SSL を使用しないというものです。たとえば、人気のあるソーシャル ネットワーキング サイトを参照してください。
于 2009-03-01T19:34:49.673 に答える
1
于 2009-03-01T19:22:16.757 に答える
1
認証メカニズムを SSL で保護してから、通常の HTTP で実行される残りのアプリケーションに転送しないのはなぜですか?
于 2009-03-01T19:22:23.870 に答える
1
元のリクエスト URL を構成してユーザーを示す方法はありますか? 次に、サーバーは、HTTP ダイジェスト認証応答のすべてのユーザーに対して、異なる異なるレルム (「ソルト」として機能) で応答できます。たとえば、フォームhttp://user.y.com/serviceまたはの URL をリクエストhttp://www.y.com/user/serviceすると、次のようなチャレンジ レスポンスが返されます。
WWW-Authenticate: Digest realm="user@y.com", nonce="oqa9hvq49krprkphtqc"
「暗号化なし」の義務を推進している理由を説明できますか? 中間者攻撃を受ける場合は、リクエスト全体の整合性を保護する必要があります。そこでは、SSL が非常に役立ちます。絶対に暗号化できない場合、暗号化されていない暗号スイートを使用した SSL は受け入れられますか?
于 2009-03-01T20:30:21.973 に答える