是否Maven的明文通过HTTP传输的用户名/密码
问题描述:
如果我在我的settings.xml
文件的(的Nexus)用户名/密码,远程仓库与HTTP(不是HTTPS)URL,将这个用户名/密码的明文发送远程服务器?是否Maven的明文通过HTTP传输的用户名/密码
我不知道是否有一个潜在的安全问题与我们的面向公众的仅HTTP口令认证的Nexus服务器。
答
Maven使用HTTP基本身份验证来发送凭据。这方面的一个典型的HTTP标头看起来沿着线的东西:
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
哪里QWxhZGRpbjpvcGVuIHNlc2FtZQ==
实际上是你username:password
组合的Base64编码的表示。这不提供任何安全性,但它也不是纯文本。
有关HTTP基本验证的更多详细信息,您可以检查here。
像Maven,Ant,Gradle,SBT,npm等大多数构建工具都使用HTTP Basic。这并不像应该那样安全。通过HTTPS使用它可以让你感觉更安全。 :)