从性能和安全angular度来看,HTTP摘要式身份validation和HTTPS基本身份validation有什么区别?
从性能angular度来看, https要求对所有内容进行encryption:请求,响应和凭证。
这是必要的,更多的服务器开销(CPU /时间,RAM)比HTTP摘要式身份validation,它简单地散列AUTH凭据,所以他们不能被轻易截获/偷窃。
所有其他的事情都是相同的, https +基本身份validation将比http +摘要身份validation慢。
慢多less? 除了最初的连接和SSL握手以外,可能没有任何数量会被注意到。
这个答案的其余部分是从这个堆栈溢出问题的顶部答案完全被盗,包括完全相同的材料。
HTTP摘要authentication的优点和缺点在维基百科关于该主题的文章中有相当清楚的解释 – 您应该阅读!
坦率地说:HTTP摘要authentication将只保护您免于将明文密码丢失给攻击者(并且考虑到MD5安全性的状态,甚至可能不是这样)。
然而,对于中间人攻击,以及根据实施情况不同,因为大多数高级function是可选的 – 重放,字典和其他forms的攻击。
然而,HTTPS连接与Digest Auth保护的HTTP连接最大的不同之处在于,前者的所有内容都使用公钥encryption进行encryption,而后者的内容则以明文方式发送。
至于性能:从上面提到的几点来看,应该很清楚你得到了什么(CPU周期)。
为了“灵活性”,我会去:嗯?