如果我的settings.xml文件中有一个带有HTTP(非HTTPS)URL的(Nexus)远程存储库的用户名/密码,这个用户名/密码会以明文形式发送到远程服务器吗?
我想知道我们面向公众的仅HTTP密码身份验证的Nexus服务器是否存在潜在的安全问题。
Maven使用HTTP Basic身份验证来发送凭据。典型的 HTTP 标头如下所示:
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
其中QWxhZGRpbjpvcGVuIHNlc2FtZQ==实际上是username:password组合的 Base64 编码表示形式。这没有任何安全性,但它也不是纯文本。
有关 HTTP 基本身份验证的更多详细信息,可以在此处查看。
大多数构建工具,如Maven,Ant,Gradle,SBT,npm,都使用HTTP Basic。这并不像它应该的那样安全。通过HTTPS使用它可以让您感到更安全。:)