HTTP基本身份验证凭据在URL和加密中传递

我有一个关于HTTPS和HTTP身份验证凭证的问题。

假设我使用HTTP身份验证来保护URL：

<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>

然后，我通过HTTPS从远程系统访问该URL，并在URL中传递凭证：

https://gooduser:secretpassword@www.example.com/webcallback?foo=bar

用户名和密码是否会自动进行SSL加密？ GET和POST也一样吗？ 我很难用这些信息找到可靠的来源。

---

用户名和密码是否会自动进行SSL加密？ GET和POST也是如此

对对对。

当SSL正在使用时，整个通信（除了DNS查找，如果主机名的IP尚未被缓存）将被加密。

---

是的，它会被加密。

如果你只是简单地检查幕后发生的事情，你会理解它。

浏览器或应用程序将首先分解URL并尝试使用DNS查询获取主机的IP。 即：将发出DNS请求来查找域的IP地址（www.example.com）。 请注意，没有其他信息会通过此请求发送。

浏览器或应用程序将使用从DNS请求收到的IP地址发起SSL连接。 证书将被交换，这发生在运输级别。 此时不会传输应用程序级别的信息。 请记住，基本身份验证是HTTP的一部分，HTTP是应用程序级别的协议。 不是传输层任务。

建立SSL连接后，现在将必要的数据传递给服务器。 即：路径或URL，参数和基本认证用户名和密码。

---

不一定是真的。 它将在网上加密，但它仍然在日志纯文本中

链接地址: http://www.djcxy.com/p/41127.html

上一篇: HTTP Basic Authentication credentials passed in URL and encryption

下一篇: Are HTTPS headers encrypted?