Apache-2.2

通過 SSL 上的反向代理時,基本身份驗證是否安全?

  • June 28, 2014

希望有人可以讓我知道我是否走在正確的軌道上。

我在網路中的文件伺服器上使用 IIS。我有一個 apache2 伺服器,它接受所有 HTTP 和 HTTPS 請求,並通過反向代理將它們發送到正確的伺服器。

在網路中,您可以通過 HTTP 訪問 IIS,它會根據 Windows 身份驗證提示輸入 UN/PW。顯然,這在網際網路上並不安全,尤其是在從不受信任的網路訪問時。

所以我的解決方案是:

遠端網路通過 SSL 連接到我的反向代理伺服器。反向代理通過 HTTP 連接到我的 IIS 伺服器遠端客戶端通過使用其 SSL 連接的反向代理獲取基本身份驗證對話框,我認為這意味著它是安全的?

假設您的客戶端始終通過 TLS 遠端連接,那麼是的,使用基本身份驗證是相當安全的。

警告:基本身份驗證的一個重要缺點是它要求密碼以明文(或其他一些易於可逆的加密)儲存在伺服器上。出於這個原因,您可能需要考慮 SSL 客戶端證書或至少是 http 摘要身份驗證,而不是基本身份驗證。

引用自:https://serverfault.com/questions/608581