인증은 어떻게 보장하지만 페이로드는 무엇입니까?
-
03-07-2019 - |
문제
인증을 보호하기위한 기존 HTTP 프로토콜을 찾고 있지만 다음과 같은 페이로드는 찾고 있습니다. 서버가 사용자 당 사용자 이름, 해시 비밀번호 및 다른 소금을 저장하기를 원합니다.
HTTP 다이제스트 인증은 모든 계정이 동일한 소금을 사용하기 때문에 이러한 요구 사항에 실패합니다. SSL은 전체 연결을 암호화하기 때문에 실패합니다.
추가하기 위해 편집 :
이것은 웹 서비스와 대화하는 데스크탑 클라이언트를위한 것입니다 (브라우저 없음)
해결책
인증 메커니즘이 SSL에 의해 보호 된 다음 정상적인 HTTP에서 실행되는 나머지 응용 프로그램으로 전달하는 것이 어떻습니까?
다른 팁
인기있는 체계는 SSL에 의해 로그인 양식을 보호하는 것이지만 사이트의 나머지 부분은 SSL을 사용하지 않는 것입니다. 예를 들어 인기있는 소셜 네트워킹 사이트를 참조하십시오.
사용자를 표시하기 위해 원래 요청 URL을 구성 할 수있는 방법이 있습니까? 그런 다음 서버는 HTTP 다이제스트 인증 응답의 모든 사용자에 대해 다른 영역 ( "소금")으로 응답 할 수 있습니다. 예를 들어 양식의 URL을 요청하십시오 http://user.y.com/service
또는 http://www.y.com/user/service
다음과 같은 과제 응답이 발생합니다.
WWW-Authenticate: Digest realm="user@y.com", nonce="oqa9hvq49krprkphtqc"
"암호화 없음"명령을 주도하는 것을 설명 할 수 있습니까? 중간 중간 공격을받는 경우 전체 요청의 무결성을 보호해야합니다. 거기서 SSL은 매우 도움이 될 것입니다. 암호화를 절대적으로 가질 수 없다면 암호화되지 않은 암호 제품군을 사용하는 SSL이 허용됩니까?