#basic-authentication #secret-key
#basic-аутентификация #секретный ключ
Вопрос:
У меня есть проект, в котором я получаю доступ к базе данных с использованием протокола HTTP. Владелец базы данных предоставил секретный ключ и потребительский ключ. Затем документация базы данных инструктирует меня объединить два ключа, используя Base64Encoding строки, состоящей из «потребительского ключа: секретный ключ». Вывод — это просто еще одна строка, которая должна быть включена в заголовок при вызове службы аутентификации, например
headers.append("Authorization","Basic YW5ndWxhci13YXJlaG91c2Utc2VydmljZXM6MTIzNDU2");
Есть ли какая-либо причина, по которой поставщик базы данных не просто отправляет форматированную строку в первую очередь, вместо того, чтобы всем пользователям приходилось выполнять Base64Encoding? Есть ли повышенная безопасность? Секретный и потребительский ключи были в одном электронном письме. Все идеи оценены, спасибо.
Комментарии:
1. Это базовая схема аутентификации , отправка имен пользователей и паролей по электронной почте довольно проблематична. Особенно в том же электронном письме. И тем более, если вы не можете изменить пароль самостоятельно. Видя это, я бы сказал, что владелец вашей базы данных на самом деле не очень заботится о безопасности
2. Похоже, что ваш «секретный ключ» — это ваш пароль, а ваш «потребительский ключ» — это ваше имя пользователя, и они просто предоставляют вам инструкции для выполнения обычной обычной HTTP-аутентификации. Мое единственное предположение о том, почему они отправляют их отдельно, заключается в том, что, когда у вас возникает проблема с подключением, они могут запросить у вас ваш «потребительский ключ» (имя пользователя), чтобы упростить отладку проблемы с их стороны.