使用SSL时在URL中传递用户名和密码不是个好主意吗？ [英] Bad idea to pass username and password in the URL when using SSL?

问题描述

场景：

我有一个带有Web服务的ASP.NET/Silverlight网站，用于为Silverlight应用程序提供数据支持。网站使用表单身份验证，因此Web服务也可以对请求进行身份验证。

现在我想将一些数据从这个系统拉到一个Android应用程序中。我可以实现用于运行表单登录并存储身份验证cookie的代码，但实际上在Web服务url中发送用户名和密码并对每个调用进行身份验证要简单得多。我真的看不出这有什么大问题，因为通信是SSL加密的，但我愿意接受其他说法；)

你怎么看？坏主意/不错的主意？

结论：

在查看答案之后，针对url请求字符串中的name/pass的唯一真正有效的参数是它存储在服务器日志文件中。当然，这是我的服务器，如果那个服务器被黑客攻击，它存储的数据也会被黑客攻击，但我仍然不喜欢密码出现在日志中。(这就是它们被盐渍和加密存储的原因)

解决方案：

我将随请求一起发布用户名和密码。最少的额外工作，更安全。

推荐答案

参见Are querystring parameters secure in HTTPS (HTTP + SSL)?

所有内容都将加密，但URL和查询字符串(以及密码)将显示在服务器日志文件中。

这篇关于使用SSL时在URL中传递用户名和密码不是个好主意吗？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！