Это, наверное, глупый вопрос, но могу ли я безопасно избавиться только от базового HTTP-аутентификатора или до сих пор получаю выгоду от авторизации digest, даже если сервер уже находится на SSL?
Вам все еще нужно использовать аутентификацию дайджеста, если вы используете SSL?
Ответ 1
Единственное преимущество, которое вы могли бы получить, используя HTTP-дайджест-аутентификацию через SSL/TLS, заключается в том, чтобы предотвратить раскрытие пароля пользователя самому серверу, если ваш сервер может быть настроен с паролями в "Формат HA1" (т.е. Если ему не нужно знать сам пароль, но где пароль пользователя можно настроить с помощью MD5 (имя пользователя: царство: пароль), не требуя ввода пароля, см. Apache Httpd).
На практике это не очень большое преимущество. Существуют лучшие альтернативы, если требуется защита самого пароля от сервера (в частности, поскольку MD5 пока не считается достаточно хорошим).
Другие функции аутентификации HTTP Digest (по форме /HTTP Basic) уже предоставляются уровнем SSL/TLS.
Ответ 2
Ассистент ssl basic auth достаточно безопасен для большинства потребностей.