Vantagens e desvantagens do authentication do HTTP

O authentication pode ser passado nos encabeçamentos do HTTP de pedidos entrantes. Este é o mesmo tipo de authentication que é usado quando seu browser cría uma janela pequena do início de uma sessão quando tentando alcançar um local. A informação do authentication é 64-encoded baixo, assim que olha como está cifrada quando transmitida sobre o fio, mas na realidade não está. Este encoding assegura-se de somente que todos os caráteres sejam válidos ser passados no encabeçamento e não estejam pretendidos fornecer nenhum nível da segurança.

Vantagens:

• Segurado fàcilmente — porque a informação do authentication é emitida nos encabeçamentos do HTTP, pode ser segurado por algumas routers ou passagens moderada complexas. Isto permitirá estrangular do ferragem-nível de clientes abusive, ou distribuindo baseado em usuários específicos. No lado da aplicação, o authentication será segurado realmente por seu web server, não sua aplicação. Os usuários da correia fotorreceptora são desenvolvidos e testados com desempenho elevado na mente, assim que este terminará provavelmente acima de ser mais rápido do que toda a tentativa de segurar o authentication na aplicação próprio.

• Transparente — porque o web server está segurando o authentication, você pode escolher ignorar completamente que usuário é entrado, e concentrado unicamente em segurar o pedido. Isto é obviamente somente aplicável quando os pedidos são usuário-user-agnostic (cada usuário recebe a mesma resposta à mesma pergunta).

• Fácil de codificar — a adição de um encabeçamento adicional do HTTP é relativamente fácil em a maioria de línguas de programação. Está também universal disponível bonito mesmo nas situações hospedando compartilhadas (que podem impedir coisas como pedidos do SSL ou bibliotecas externas).

Desvantagens:

• O authentication é emitido na base — desobstruída 64 é um algoritmo em dois sentidos. Qualquer um que intercepta o pedido pode determiná-los o username e a senha que estão sendo usados, mas não necessita mesmo; podem apenas usar um encabeçamento idêntico eles mesmos.

• A limitação do username — ao usar o authentication do HTTP, os dois pontos (:) não pode ser usada no username. Uma limitação menor, mas uma a manter-se na mente.

• Nenhum encryption — todos os pedidos e respostas é visível a qualquer um entre o usuário de pedido e o usuário do API.

• A barreira ligeira para usar — aqueles estranhos com este método do authentication pode recuar afastado de tentá-lo.

Este nível básico do authentication é suficiente para muitas aplicações do API. A presença de algum authentication básico permite o API a seja cliente-ciente ou cliente-client-agnostic, dependendo de suas necessidades específicas, e permita também estrangular ou negação aos clientes abusive. Seria uma idéia boa com este tipo de authentication fornecer alguma separação entre o username e combo da senha usados para o API e o local em grande. Esta maneira, a informação do authentication do API estiver comprometida (por alguém com acesso ao código, ou agarrando o fora do fio), o usuário válido pode usar sua informação regular mudar os credentials do API.

Disclaimer: Nosso Web site não é responsável para a informação contida por este artigo. Este artigo em nenhuma maneira reflete as vistas, as opiniões, os pensamentos ou a opinião da equipe de funcionários do diretório dos artigos.

Observação da tradução: O artigo "vantagens e desvantagens do authentication do HTTP" foi traduzido usando um serviço de tradução automatizado. Nós desculpamo-nos sincerely por todos os erros da tradução que ocorram. Obrigado compreendendo.

Online: 553 users browsing the articles directory