今天,我为WordPress REST API测试了Basic Auth,它工作得非常好。然而,我听说这是一种危险的身份验证方式。这是可以理解的,因为人们可以查看JS文件等。
但是,我有一个外部应用程序,我希望用户在其中以表单形式填写凭据(就像在普通WordPress网站上一样)。然后用户登录到该应用程序,并可以在其用户名下发表评论。我不打算泄露任何敏感数据。此外,我只想在用户登录应用程序时显示其用户名和头像。管理员可以更新/删除帖子,但最重要的是,用户/订阅者可以通过RESTAPI登录,在其用户名下发表评论。
我的问题是:Basic Auth是一种可以接受的方法吗?我可以想象,在某些情况下,这可能很危险,但根本不会暴露任何敏感数据,用户的密码也不会显示在任何地方。
请让我知道你的想法。提前谢谢。
最合适的回答,由SO网友:forsvunnet 整理而成
基本身份验证是一种非常常见的用户名/密码身份验证方法,它与用户名-密码组合和所使用协议的加密一样强大。
基本身份验证的缺点是,如果将其与普通http而不是https一起使用,则用户名和密码容易受到中间人攻击。
您可以使用基本身份验证,但请确保您使用的是SSL加密/https。
