HTTP基本身份validation凭据通过URL和encryption

我有一个关于HTTPS和HTTP身份validation证书的问题。

假设我使用HTTP身份validation来保护URL: 

<Directory /var/www/webcallback> AuthType Basic AuthName "Restricted Area" AuthUserFile /var/www/passwd/passwords Require user gooduser </Directory>

然后,我通过HTTPS从远程系统访问该URL,并在URL中传递凭据: 

 https://gooduser:secretpassword@www.example.com/webcallback?foo=bar

用户名和密码是否会自动进行SSLencryption? GET和POST也一样吗? 我很难find这个信息的可靠来源。

用户名和密码是否会自动进行SSLencryption? GET和POST也是一样的

对对对。

如果主机名的IP尚未被caching,则整个通信(除DNS查找外)在使用SSL时被encryption。

是的,它会被encryption。

如果你只是简单地检查幕后发生的事情,你会明白的。

  1. 浏览器或应用程序将首先分解URL并尝试使用DNS查询获取主机的IP。 即:将发出DNS请求来查找域的IP地址(www.example.com)。 请注意,没有其他信息将通过此请求发送。
  2. 浏览器或应用程序将使用从DNS请求收到的IP地址发起SSL连接。 证书将被交换,这发生在运输级别。 此时不会传输应用程序级别的信息。 请记住,基本身份validation是HTTP的一部分,HTTP是应用程序级别的协议。 不是传输层任务。
  3. build立SSL连接后,现在必要的数据将被传递给服务器。 即:path或URL,参数和基本authentication用户名和密码。

不一定是真的。 它将在电线上encryption,但仍然在日志纯文本中

Interesting Posts

使用python + ldap对活动目录进行身份validation

在Ember.JS应用程序中强制执行用户/身份validation状态的最佳方法

xmlHttp.getResponseHeader +不适用于CORS

何时通过Facebook的新Android SDK 3.0请求权限?

使用azure活动目录进行身份validation时,发生Azurepipe理库API调用时出错

什么是摘要authentication?

春季安全AuthenticationManager与AuthenticationProvider?

HTTP规范:代理授权和授权标头

在Django中接受电子邮件地址作为用户名

你在哪里储存盐弦?