Quels sont les avantages et les inconvénients de l'authentification HTTP de base?

Question

J'ai créé une API REST qui utilise l'authentification Basic HTTP. Est limité à SSL uniquement. Maintenant qu'il est implémenté, j'entends des critiques que Basic HTTP over SSL n'est pas sécurisé. Il serait préjudiciable au projet de «stopper la presse» et ce serait hors de la portée de certains de mes clients à utiliser OAuth, etc. J'ai besoin de comprendre les risques et les récompenses de ces méthodes. Tous les exemples de grands noms utilisant l'authentification HTTP de base seraient également utiles.

Answer 1

L'authentification HTTP de base sur SSL est fondamentalement sécurisée, avec des mises en garde. Les problèmes de sécurité proviennent principalement de l'utilisation de l'authentification de base sans SSL, auquel cas, le nom d'utilisateur et le mot de passe sont exposés à un MITM. Dans un navigateur, il existe également des problèmes d'expiration des informations d'identification, mais ce n'est pas vraiment un problème pour les services REST.

Answer 2

peut-être que je suis induit en erreur mais je ne vois pas de problème avec SSL seulement BASIC ... esp. pas avec une API sans état.
Si les appelants sont obligés d'utiliser un proxy de reniflage SSL alors BASIC signifie que le mot de passe est disponible en clair pour le proxy ... dans ce cas précis Digest serait mieux (même avec SSL) parce que le proxy ne sait pas le mot de passe (digest signifie challenge challenge ...).