除了HTTP身份验证(我了解到在互联网上本质上不安全),还有没有其他方法让“现实生活”网站处理登录和身份验证,而不是使用会话cookie的传统方式?
除了传统的使用会话 cookie 的方式,是否有任何其他方法(除了 HTTP 身份验证,因为它在互联网上天生不安全),可以让“实际应用”的网站处理登录和身份认证?除了HTTP身份验证(我了解到在互联网上本质上不安全),还有没有其他方法让“现实生活”网站处理登录和身份验证,而不是使用会话cookie的传统方式?
除了传统的使用会话 cookie 的方式,是否有任何其他方法(除了 HTTP 身份验证,因为它在互联网上天生不安全),可以让“实际应用”的网站处理登录和身份认证?HTTP摘要认证(与HTTP基本认证完全不同)在直接HTTP上非常安全,而且在服务器上实现也非常简单。没有任何东西被发送到网络上可以显示出密码是什么,只有一些信息允许客户端向服务器证明他们有正确的密码。
如果您想要一个体面的解释来实现HTTP摘要认证在您的应用程序中,Paul James有一篇优秀的文章。
HTTP身份验证唯一真正的问题在于浏览器本身:用户界面很糟糕,但可以通过一些Javascript来克服。
补充:这个答案已经有将近十年了。现在,您应该真的无论其他考虑都应该使用HTTPS。
当与SSL (https://) 网站一起使用时,HTTP基本身份验证是完全安全的,因为所有HTTP流量(包括凭据)都将被加密。但这种方法的一个主观缺点是,使用此方法时,您的用户需要与其浏览器的身份验证弹出窗口进行交互,以便登录您的网站。
使用HTTPs时,HTTP身份验证并不是不安全的。
使用SSL加密与HttpOnly Cookies相结合,以帮助防止XSS攻击,是使用Cookies的最佳选择。虽然我不会说它是百分之百安全的。