我正在開發Intranet應用程序,我想進行安全身份驗證。內部網Web應用程序的http或https身份驗證
一種方法可以使用「https」。問題在於服務器沒有受信任的證書,因此對於客戶端來說有點煩人,因爲瀏覽器不信任證書和抱怨信息。
使用HTTP會危及用戶密碼,但它可以與「Digest access authentication結合」
你覺得呢?
我正在開發Intranet應用程序,我想進行安全身份驗證。內部網Web應用程序的http或https身份驗證
一種方法可以使用「https」。問題在於服務器沒有受信任的證書,因此對於客戶端來說有點煩人,因爲瀏覽器不信任證書和抱怨信息。
使用HTTP會危及用戶密碼,但它可以與「Digest access authentication結合」
你覺得呢?
購買域和可信證書?如果你四處逛逛,他們真的不再那麼貴。
話雖如此,摘要訪問認證是合理安全的認證。使用http而不是https,即使密碼不正確,您通過電報發送的所有信息都將是純文本。任何可以將筆記本電腦插入運行諸如WireShark等應用程序的Intranet的人都可以查看來回發送的所有信息。如果您關心的信息沒有受到影響,那麼http將無法滿足您的需求。
如果你需要它是一個完全安全的,你應該購買SSL證書。
從您提供的維基鏈接:
缺點
摘要接入認證的目的是作爲一個安全的權衡;它旨在替換非常弱的未加密的HTTP基本訪問驗證。但是,它並不打算取代強身份驗證協議,例如公鑰或Kerberos身份驗證。
我認爲你的答案:)
您有以下選擇:
購買受信任的證書。
或者,生成您自己的根證書,將其安裝在所有Intranet計算機上的瀏覽器中(您應該能夠執行此操作,因爲它是Intranet),生成您自己的服務器證書,並使用您自己的根證書籤名。這實際上是公司經常做的事情。
注意:如果你想有形式認證(一個HTML表格的用戶,密碼,使用您的應用的視覺風格的登錄頁面,更好的錯誤密碼錯誤報告,可能還有其他的HTTP摘要認證是沒有幫助功能,如「記住我」或「忘記密碼」)。
#2就是我們在這裏所做的。 – Chris 2010-09-02 04:47:55
截至2015年11月您can't buy certificates for internal domains據我所知,唯一的選擇是在客戶端預先安裝證書。不是一個好的解決方案
如果您想保留內部域的私密性,另一個可行性是創建一個公共域mycompany.com,然後在內部運行您自己的DNS服務器以解析您的內部域:accounting.internal.mycompany.com
,hr.internal.mycompany.com
等。然後我相信你可以使用通配符證書mycompany.com
。我還沒有測試過這個解決方案。
「任何人都可以在您的Intranet插上一臺筆記本電腦上運行的應用程序(例如Wireshark)可以查看所有的來回發送信息」 雖然是無線的真實,這是不正確的交換網絡(其是你在牆上的以太網插頭可能有的)。您只能看到廣播流量。 HTTP未廣播。 – 2011-10-26 09:14:58
問題是您無法購買內部域的證書。僅適用於.com,.net等全球域名。 – Timmmm 2015-12-03 13:16:43