#security #post #passwords #basic-authentication
#Безопасность #Публикация #пароли #basic-аутентификация
Вопрос:
Я разрабатываю API, и у меня возникло несколько быстрых вопросов о HTTP-аутентификации и безопасности.
API будет задействовать два веб-сервера, разработчиком одного из которых я являюсь (назовем его Server 1). К сожалению, я не могу контролировать сервер, с которого я хочу получить данные (сервер 2).
Чтобы получить данные с сервера 2, «пользователь» должен сначала войти в систему. Это выполняется с помощью базовой HTTP-аутентификации.
Мой вопрос: существуют ли какие-либо серьезные уязвимости в системе безопасности, если я отправляю имя пользователя и пароль (содержащиеся в JSON) в теле POST-запроса с сервера 1 на сервер 2, чтобы зарегистрировать «пользователя» и создать сеанс? Имя пользователя и пароль будут надежно содержаться в переменных конфигурации, пока они не будут отправлены в запросе POST. Оба сервера используют SSL, поэтому сообщения должны быть зашифрованы.
Поскольку у меня нет контроля над сервером 2, это единственный способ, который я могу придумать, чтобы создать этот API, не запрашивая разработку на сервере 2.
Я бы подумал, что это в основном то же самое, что использовать обычную HTML-форму для входа в службу с использованием имени пользователя / пароля, но я хотел получить подтверждение от сообщества.
Большое вам спасибо.