Скрыть пользователя и пароль в URL-адресе при использовании HTTP-аутентификации основного доступа

Question

В настоящее время я соединяюсь с сайтом, который использует базовый auth, и мой url выглядит как http://username:password@mysite.com. Он работает, но каждый может видеть пароль; Есть ли способ скрыть его, используя base64 или что-то подобное?

Answer 1

Этот синтаксис является просто ярлыком для браузера. Некоторые браузеры будут использовать этот синтаксис для создания заголовков авторизации (некоторые не будут).

Но. Одно можно сказать наверняка. Вы даете пользователю + пароль всем. Если ваш сайт использует базовую аутентификацию, вам необходимо предоставить информацию о пользователе и пароле вашим пользователям, например, например, в электронной почте. Зачем вам добавлять аутентификацию, а затем разрешать всем доступ к разделу с проверкой подлинности?

HTTP Basic authentication is not very secure. Но может использоваться для предотвращения индексации ботами или с https. Когда вы добавляете такое (раздражающее) всплывающее окно, пользователи должны будут ввести учетные данные, другого пути нет. И браузер выполнит запись учетных данных и добавит одну и ту же информацию (пользователь + пароль, закодированный в base64, что означает, что это чистый текст, без защиты) для каждой страницы, запрошенной на вашем сайте, до тех пор, пока браузер не будет закрыт. Поэтому вам не нужно добавлять учетные данные на url, браузер сделает это за вас после первого всплывающего окна.