blocks|key|145884|text|有许多身份验证方案可以在纯HTTP上安全地工作。其中最常见的是Digest，它得到了所有主流web浏览器和几乎所有web编程框架的支持。|type|unstyled|depth|inlineStyleRanges|entityRanges|offset|length|data|145885|为网站使用Digest的缺点是：|145886|145887|身份验证是由浏览器本身处理的，而不是网站上的登录页面，这看起来不是很好，并且不允许您具有所有周围的帮助功能，如“忘记密码？”这是我们现在所期望的。|unordered-list-item|145888|如果你没有SSL连接，聪明的用户可能会担心他们发送的密码是不安全的(即使他们没有)，因为他们已经接受了输入凭证时寻找SSL连接的培训。|145889|145890|还有其他的方案，如OAuth，它也比普通的超文本传输协议更安全，但这实际上更多的是用于API而不是网站，所以可能不是你想要的。|145891|entityMap|0|LINK|mutability|MUTABLE|url|http://www.ietf.org/rfc/rfc2617.txt|1|http://oauth.net/core/1.0a^0|V|6|0|0|0|0|0|0|0|9|5|1|0^^$0|@$1|2|3|4|5|6|7|Y|8|@]|9|@$A|Z|B|10|1|11]]|C|$]]|$1|D|3|E|5|6|7|12|8|@]|9|@]|C|$]]|$1|F|3|-4|5|6|7|13|8|@]|9|@]|C|$]]|$1|G|3|H|5|I|7|14|8|@]|9|@]|C|$]]|$1|J|3|K|5|I|7|15|8|@]|9|@]|C|$]]|$1|L|3|-4|5|6|7|16|8|@]|9|@]|C|$]]|$1|M|3|N|5|6|7|17|8|@]|9|@$A|18|B|19|1|1A]]|C|$]]|$1|O|3|-4|5|6|7|1B|8|@]|9|@]|C|$]]]|P|$Q|$5|R|S|T|C|$U|V]]|W|$5|R|S|T|C|$U|X]]]]

There are a number of authentication schemes which can work securely over plain HTTP. The most common of these is <a href="http://www.ietf.org/rfc/rfc2617.txt" rel="nofollow noreferrer">Digest</a>, which is supported by all major web browsers and virtually every web programming framework.

The down-side of using Digest for web sites is that:

<ul>
<li>The authentication is handled by the browser itself rather than a login page on the web site, which doesn't look nearly as nice, and doesn't allow you to have all the surrounding helper functions like "forgot your password?" that we've come to expect nowadays.</li>
<li>If you have no SSL connection, savvy users may feel worried that they are sending their password insecurely (even though they aren't) because they've been trained to look for an SSL connection when entering credentials.</li>
</ul>

There are other schemes such as <a href="http://oauth.net/core/1.0a" rel="nofollow noreferrer">OAuth</a> which also are safe over plain HTTP, but that is really more for APIs than web sites, so probably isn't what you want.

blocks|key|146734|text|除了对用户登录的每个页面使用SSL之外，没有其他方法可以替代浏览器中的HTTP安全性。任何其他技术都是完全不安全的，只不过是晦涩的一层。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|146735|在其他漏洞中，任何基于HTTP的自制解决方案都容易受到MITM攻击。|146736|即使使用SSL，登录和会话机制也必须是安全的，否则可能会被其他漏洞利用。|146737|entityMap^0|0|0|0^^$0|@$1|2|3|4|5|6|7|H|8|@]|9|@]|A|$]]|$1|B|3|C|5|6|7|I|8|@]|9|@]|A|$]]|$1|D|3|E|5|6|7|J|8|@]|9|@]|A|$]]|$1|F|3|-4|5|6|7|K|8|@]|9|@]|A|$]]]|G|$]]

There is NO alternative to HTTP security in a browser other than using SSL for every page where the user is logged in. Any other techniques are completely insecure and are nothing but layers of obscurity.

Any homebrew solution over HTTP is always vulnerable to MITM attacks, among other vulnerabilities.

Even with SSL, the login &amp; session mechanism must be secure or it can be cracked using other exploits.

blocks|key|1167037|text|证书可以是自签名证书。不一定是付费的:)|type|unstyled|depth|inlineStyleRanges|entityRanges|data|1167038|entityMap^0|0^^$0|@$1|2|3|4|5|6|7|D|8|@]|9|@]|A|$]]|$1|B|3|-4|5|6|7|E|8|@]|9|@]|A|$]]]|C|$]]

The certificate may be a self signed one. Not necessarily to be a paid one :)

blocks|key|4383781|text|你也可以试试我目前正在使用的StartSSL.Org，它甚至工作得很好，但它在某种程度上与cacert.org相同，它们默认情况下不被浏览器信任|type|unstyled|depth|inlineStyleRanges|entityRanges|data|4383782|entityMap^0|0^^$0|@$1|2|3|4|5|6|7|D|8|@]|9|@]|A|$]]|$1|B|3|-4|5|6|7|E|8|@]|9|@]|A|$]]]|C|$]]

You can also try StartSSL.Org
I am using that currently and it works great even but it somehow the same as cacert.org, they are not trusted by the browsers by default

blocks|key|146754|text|离开这个主题，您可以使用openssl获取您自己的(自签名)证书。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|146755|您需要首先生成RSA密钥和CSR，才能生成自签名证书。在安装了openssl的linux计算机上：|146756|openssl+genrsa+-des3+-out+mydomain.key+1024

openssl+req+-new+-key+mydomain.key+-out+mydomain.csr+++//+fill+in+the+details

mv+mydomain.key+mydomain.key.org

openssl+rsa+-in+mydomain.key.org+-out+mydomain.key+++++//+creates+passphraseless+key

openssl+x509+-req+-days+365+-in+mydomain.csr+-signkey+mydomain.key+-out+mydomain.crt|code-block|syntax|javascript|146757|entityMap^0|0|0|0^^$0|@$1|2|3|4|5|6|7|K|8|@]|9|@]|A|$]]|$1|B|3|C|5|6|7|L|8|@]|9|@]|A|$]]|$1|D|3|E|5|F|7|M|8|@]|9|@]|A|$G|H]]|$1|I|3|-4|5|6|7|N|8|@]|9|@]|A|$]]]|J|$]]

off the topic, you can obtain your own (self signed) certificate using openssl.

you need to generate a RSA key and a CSR first to generate a self signed cert. On a linux machine with openssl installed:

<pre><code>openssl genrsa -des3 -out mydomain.key 1024

openssl req -new -key mydomain.key -out mydomain.csr // fill in the details

mv mydomain.key mydomain.key.org

openssl rsa -in mydomain.key.org -out mydomain.key // creates passphraseless key

openssl x509 -req -days 365 -in mydomain.csr -signkey mydomain.key -out mydomain.crt
</code></pre>

blocks|key|4383921|text|嗯，我讨厌打开一个老帖子，但我不认为这是准确的。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|4383922|我承认很难击败可验证的证书，但人们经常使用自签名证书作为测试站点。我非常确定，一个简单的自制解决方案可以和一个自签名证书一样好。|4383923|见鬼，我甚至可以说，只要预先共享一点密钥(或者像gpg这样的东西)，它就会变得非常安全。|4383924|entityMap^0|0|0|0^^$0|@$1|2|3|4|5|6|7|H|8|@]|9|@]|A|$]]|$1|B|3|C|5|6|7|I|8|@]|9|@]|A|$]]|$1|D|3|E|5|6|7|J|8|@]|9|@]|A|$]]|$1|F|3|-4|5|6|7|K|8|@]|9|@]|A|$]]]|G|$]]

Hmmm, hate to open an old thread, but I'm not seeing this as accurate.

I admit that its hard to beat a verifiable certificate, but quite often people use self-signed certificates for test sites. I'm pretty sure that a simple homebrew solution could be every bit as good as a self-signed certificate.

Heck, I'll even say that with a little presharing of keys (or something like gpg) it could be every bit as secure.

blocks|key|146784|text|我想我应该试着用这些证书问题来制作更多的“结缔组织”。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|146785|https://stackoverflow.com/users/808354/iakovos-gurulian有一个很好的答案。store+api+credential+securely|offset|length|146786|entityMap|0|LINK|mutability|MUTABLE|url|https://stackoverflow.com/users/808354/iakovos-gurulian|1|https://stackoverflow.com/questions/43636407/store-api-credential-securely^0|0|0|1J|0|1S|T|1|0^^$0|@$1|2|3|4|5|6|7|P|8|@]|9|@]|A|$]]|$1|B|3|C|5|6|7|Q|8|@]|9|@$D|R|E|S|1|T]|$D|U|E|V|1|W]]|A|$]]|$1|F|3|-4|5|6|7|X|8|@]|9|@]|A|$]]]|G|$H|$5|I|J|K|A|$L|M]]|N|$5|I|J|K|A|$L|O]]]]

Thought I'd try to make some more 'connective tissue' with these credential concerns. 

<a href="https://stackoverflow.com/users/808354/iakovos-gurulian">https://stackoverflow.com/users/808354/iakovos-gurulian</a> had a great answer. 
<a href="https://stackoverflow.com/questions/43636407/store-api-credential-securely">store api credential securely</a>

I am new in SSL, whatever i read and know that its paid digital certificate and after using SSL in website https:// the data transfer is secure at network layer.

In my application i don't have much security concern except loginname and password.

Is there any way to protect Loginname and password without using SSL https://

Secure Login credential without using SSL

翻译质量差，导致语言生硬或混乱。

没有提供实际的解决方法或示例。

解答不清晰，无法理解或解决问题。

页面排版不美观，阅读体验差。

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云AI代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

功能1上新10个字符

功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符。

功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符。

功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符

功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符

功能4上新

文章&问答评论现已支持表情

全新交互，全新视觉，新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能，全面提升创作效率和体验

社区富文本编辑器全新改版！诚邀体验～ 

精选全网热门MCP server，让你的AI更好用 🚀

💥开发者 MCP广场重磅上线！

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

我是SSL的新手，无论我读到并知道它的付费数字证书，在使用SSL后，在网站https://数据传输在网络层是安全的。在我的应用程序中，除了登录名和密码之外，我没有太多的安全问题。有没有办法保护登录名和密码而不使用SSL https://

问不使用SSL的安全登录凭据
EN

回答 7

Stack Overflow用户

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问不使用SSL的安全登录凭据EN

回答 7

Stack Overflow用户

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问不使用SSL的安全登录凭据
EN