通過 SSL 上的反向代理時，基本身份驗證是否安全？

希望有人可以讓我知道我是否走在正確的軌道上。

我在網路中的文件伺服器上使用 IIS。我有一個 apache2 伺服器，它接受所有 HTTP 和 HTTPS 請求，並通過反向代理將它們發送到正確的伺服器。

在網路中，您可以通過 HTTP 訪問 IIS，它會根據 Windows 身份驗證提示輸入 UN/PW。顯然，這在網際網路上並不安全，尤其是在從不受信任的網路訪問時。

所以我的解決方案是：

遠端網路通過 SSL 連接到我的反向代理伺服器。反向代理通過 HTTP 連接到我的 IIS 伺服器遠端客戶端通過使用其 SSL 連接的反向代理獲取基本身份驗證對話框，我認為這意味著它是安全的？

假設您的客戶端始終通過 TLS 遠端連接，那麼是的，使用基本身份驗證是相當安全的。

警告：基本身份驗證的一個重要缺點是它要求密碼以明文（或其他一些易於可逆的加密）儲存在伺服器上。出於這個原因，您可能需要考慮 SSL 客戶端證書或至少是 http 摘要身份驗證，而不是基本身份驗證。

引用自：https://serverfault.com/questions/608581