www password example bearer authenticate http http-headers basic-authentication

password - Pasar nombre de usuario y contraseña en URL para HTTP Basic Auth



http request header user password (1)

¿El cliente está enviando esto en el encabezado Autorización?

Depende de lo que sea el cliente Si el cliente es un navegador, la respuesta es no. Aquí está el resultado del experimento:

  • En Chrome, no se envía ningún encabezado de autorización.
  • En Firefox, no se envía ningún encabezado de autorización. Firefox también solicitará un diálogo de confirmación, ya que el envío proactivo de información de autenticación es extraño.
  • En Safari, no se envía ningún encabezado de autorización. Safari también mostrará primero una página de advertencia, ya que sospecha que la URL pertenece a un sitio de pesca.
  • En Opera, no se envía ningún encabezado de autorización.
  • Estoy en Mac y no puedo ejecutar experimento en IE / Edge. Pero según el comportamiento de otro navegador que sea razonable, supongo que IE / Edge actuaría de la misma manera. De todos modos, agradecería que alguien tome un experimento y obtenga el resultado.

En términos generales, el navegador ignorará la información de autentificación enviada proactivamente en la URL, por razones de seguridad.

Sin embargo, si el cliente es una herramienta de desarrollo, la información de autenticación puede codificarse en base64 y enviarse como encabezado de Autorización. Aquí hay algunos resultados del experimento:

  • En curl, sí, se envía el encabezado de autorización.
  • En Postman, no se envía ningún encabezado de autorización.

Si el encabezado de autorización se envía depende del diseño de la herramienta.

¿Qué tipo de procesamiento se necesita en el servidor para este tipo de codificación URL?

En el lado del servidor, todo lo que necesita hacer es obtener la cadena codificada en base64 del encabezado Autorización, decodificarla y verificar si es válida.

¿Sería diferente si se utiliza el protocolo HTTP en URL de ejemplo?

Por seguridad, sí, el encabezado de Autorización a través de HTTP es muy inseguro. La codificación / decodificación de Base64 no generará ningún beneficio de seguridad, todos pueden decodificarla.

De lo contrario, son lo mismo.

Al pasar el nombre de usuario y la contraseña codificados en la URL, p. Ej .: https: // Aladdin: [email protected]/index.html

¿El cliente está enviando esto en el encabezado Autorización? ¿Qué tipo de procesamiento se necesita en el servidor para este tipo de codificación URL?