我有一个客户端,它正在将XML文档发布到需要基本身份验证的服务器。有效载荷和基本身份验证标头是否包含在同一请求中,或者身份验证是否在有效载荷发送之前发生?我正试图将敏感信息发送到服务器?即使身份验证失败,服务器是否仍然可以访问敏感信息?
请求头(包括基本身份验证使用的Authorization头(和请求消息体(将在其中复制XML文档(在概念上是同一消息的一部分。
该消息可能分布在多个数据包上。
在某些情况下,请求正文将与正文分开发送(例如,与Expect标头的使用一起发送。
授权头描述的是客户端,而不是服务器——如果你向服务器发送未加密的数据,它当然可以读取
通常的答案是对整个http请求进行加密,这样它只能由可以访问另一半加密密钥的进程读取。在最常见的用例中,我们使用HTTPS来确保请求只能由能够访问服务器机密的机器读取;客户端授权仍然通过标头进行。
还有一些替代方案,其中客户端通过在消息加密中使用特定秘密来证明其身份(服务器通过正确的匹配片段成功解密消息来知道客户端是真实的(。