আপনি কি ইউআরএল প্যারামিটারে HTTP বেসিক প্রমাণীকরণের জন্য ব্যবহারকারী / পাস করতে পারবেন?

153

আমি বিশ্বাস করি এটি সম্ভব নয়, তবে আমার পরিচিত কেউ জোর দিয়েছিলেন যে এটি কার্যকর হয়। কী পরামিতিগুলি চেষ্টা করতে হবে তা আমি জানি না এবং আমি এই নথিটি কোথাও খুঁজে পাইনি।

আমি http://myserver.com/~user=username&password=mypassword চেষ্টা করেছিলাম কিন্তু এটি কার্যকর হয় না।

আপনি কি নিশ্চিত করতে পারেন যে এইচটিটিপি প্যারামিটারগুলি (জিইটি বা পোষ্ট) দিয়ে ব্যবহারকারী / পাস করা বাস্তবে সম্ভব নয়?

authentication  http  http-basic-authentication 
ripper234
সূত্র
9
এবার Smudge
@ সাম - কি? সম্পূর্ণ ইউআরএল দেখতে কেমন হবে?
রিপার 234
4
বৈশিষ্ট সকল ietf.org/rfc/rfc1738.txt (3.1)
এবার Smudge
@ সাম - দুঃখিত, আমি কোনও কারণে আপনার মন্তব্যকে বিশ্লেষণ করতে ব্যর্থ হয়েছি।
ripper234

উত্তর:

199

স্ট্যান্ডার্ড এইচটিটিপি প্রমাণীতে ক্যোয়ারী প্যারামিটারগুলির মাধ্যমে ব্যবহারকারীর নাম এবং পাসওয়ার্ডটি দেওয়া সম্ভব নয়। পরিবর্তে, আপনি এর মতো একটি বিশেষ ইউআরএল ফর্ম্যাট ব্যবহার করেন: http://username:password@example.com/- এটি স্ট্যান্ডার্ড এইচটিটিপি "অনুমোদন" শিরোনামে শংসাপত্রগুলি প্রেরণ করে।

এটা সম্ভব যে আপনি যার সাথে কথা বলছিলেন তিনি একটি কাস্টম মডিউল বা কোডের কথা ভাবছিলেন যা ক্যোয়ারী প্যারামিটারগুলিতে তাকিয়েছিল এবং শংসাপত্রগুলি যাচাই করে। এটি মানক HTTP লেখক নয়, যদিও এটি একটি অ্যাপ্লিকেশন-নির্দিষ্ট জিনিস।

বোকা
সূত্র
1
ধন্যবাদ, আমি যা খুঁজছিলাম ঠিক এটিই ... এটি সমালোচনা নয় যে এটি পরামিতিগুলি পেয়েছে, কেবলমাত্র আমি এটি ইউআরএল তৈরি করতে পারি।
ripper234
42
এফওয়াইআই, http://username:password@example.comফর্ম্যাটটি আর আইই বা ক্রোম দ্বারা সমর্থিত নয়, অন্যরা যদি ইতিমধ্যে তা না করে থাকে তবে তারা অবাক হবে না।
টিজে ক্রাউডার
11
প্রকৃতপক্ষে ক্রোমে সূক্ষ্মভাবে কাজ করে। কেবলমাত্র আই.আই.
ড্যামিয়েন ওভেরিম ツ
1
@ ড্যামিয়েনওভারিম আপনি ক্রোমের কোন সংস্করণ চালু করছেন? আমি ম্যাক ওএস এক্স 37 এ আছি এবং এটি আমার পক্ষে কাজ করছে বলে মনে হচ্ছে না
ক্রিস ডেমর
11
আমি তখন থেকে জানতে পেরেছি যে Chrome একটি সময়ের জন্য এটি নিষ্ক্রিয় করেছিল, তবে পরে এই বৈশিষ্ট্যটি পুনরায় সক্ষম করেছে। আমি আরও শিখেছি যে এই ধরণের লিঙ্কগুলিতে চলার সময় সাফারি ফিশিং ত্রুটি নিক্ষেপ করবে .. মূলত ইউআরএল-ভিত্তিক এইচপি প্রমাণীকরণের সময় শেষ হয়ে গেছে ..
ড্যামিয়েন ওভরিম ツ
18

URL এ মৌলিক প্রমাণীকরণের পরামিতিগুলি পাস করার প্রস্তাব দেওয়া হয়নি recommended

এই উদ্দেশ্যে এখানে একটি অনুমোদনের শিরোলেখ ক্ষেত্র রয়েছে এটি এখানে পরীক্ষা করে দেখুন: http শিরোনাম তালিকা

এটি কীভাবে ব্যবহার করবেন তা এখানে লিখিত রয়েছে: প্রাথমিক অ্যাক্সেস প্রমাণীকরণ

সেখানে আপনি এটি পড়তে পারেন যে এটি এখনও কিছু ব্রাউজার দ্বারা সমর্থিত হলেও ইউআরএলে বেসিক অনুমোদনের শংসাপত্রগুলি যুক্ত করার প্রস্তাবিত সমাধানের প্রস্তাব দেওয়া হয় না।

আরএফসি 2617-এর অধ্যায় 4.1 পড়ুন - বেসিক প্রমাণীকরণ কেন ব্যবহার করবেন না সে সম্পর্কে আরও তথ্যের জন্য HTTP প্রমাণীকরণ।

ক্যোরি স্ট্রিংয়ে প্রমাণীকরণের পরামিতিগুলি পাস করা হচ্ছে

OAuth বা অন্যান্য প্রমাণীকরণ পরিষেবা ব্যবহার করার সময় আপনি প্রায়শই কোনও অনুমোদনের শিরোনামের পরিবর্তে আপনার অ্যাক্সেস টোকনকে কোয়েরি স্ট্রিংয়ে প্রেরণ করতে পারেন, তাই এরকম কিছু:

GET https://www.example.com/api/v1/users/1?access_token=1234567890abcdefghijklmnopqrstuvwxyzABCD
তাজা ভাব হারান
সূত্র
এবং কেউ কীভাবে কোনও ইউআরএলটিতে কোনও অনুমোদনের শিরোনামকে এনকোডিং করতে যায়?
ওম্বল
2
আপনি যে ফর্মটি বলেছেন তা কি এখন অবহেলা করা হয়নি?
দোলা
2
"এই উদ্দেশ্যে একটি অনুমোদনের শিরোনাম ক্ষেত্র রয়েছে" দিয়ে আপনি যে প্রশ্নের উত্তর দিয়েছিলেন সেটিতে কীভাবে ইউআরএলে প্রমাণীকরণের পরামিতিগুলি রাখবেন তা জিজ্ঞাসা করা হয়েছিল । যদি আপনি এইচটিটিপি শিরোনাম ক্ষেত্রগুলিকে কোনও ইউআরএলে এনকোড করতে না পারেন (যা আপনি পারবেন না), আপনার উত্তরটি নন সিকুইটার।
দোলা
আপনি যেখানে ইউআরআই স্ট্যান্ডার্ডে উল্লেখ করেছেন যে ইউআরআই-তে মৌলিক প্রমাণীকরণের পরামিতিগুলি হ্রাস করা হয়? আরএফসি 2396 কেবলমাত্র এটি বলেছে যে এটি "প্রস্তাবিত নয়" কারণ সরল পাঠ্যে প্রমাণীকরণের বিবরণ অনেক পরিস্থিতিতে, একটি ভাল ধারণা নয় (যার মধ্যে আমি সম্মত), আর আরএফসি 7235 কিছুই উল্লেখ করেনি। আমি যে চশমাগুলিতে অনুসন্ধান করতে পারি সেখানে কোথাও বলা যায় না যে এটি অবমূল্যায়ন করা হয়েছে।
মিথ্যা রায়ান
1
@ উইল্ট: আমাকে ক্ষমা চাইতে হবে, আপনি সত্যই সঠিক। আপনার ইঙ্গিতটি যে অনুমানটি "পরিবর্তিত" ছিল আমাকে আরও তদন্তের জন্য প্ররোচিত করেছিল (একটি আরএফসি প্রকাশিত / সংখ্যা প্রকাশের পরে এটি কখনই সংশোধিত হয় না)। আমি সবেমাত্র পেয়েছি যে আরএফসি 2396 আসলে আরএফসি 3986 দ্বারা ছাড়িয়ে গেছে , যা আমি আগে খুঁজে পাচ্ছিলাম না। আরএফসি 3986 ব্যবহারকারীর নাম অবমাননার কথা উল্লেখ করেছে: পাসওয়ার্ড সিনট্যাক্স:Use of the format "user:password" in the userinfo field is deprecated.
লাই রায়ান
17

http: // ব্যবহারকারীর নাম: password@example.com ফায়ারফক্স, ক্রোম, সাফারি বা আইইয়ের জন্য নয়, তবে কাজ করবে।

মাইক্রোসফ্ট নলেজ বেস

গিরিশ কুমার
সূত্র
2
এই ক্ষমতাটি ক্রোম 19+ থেকে সরানো হয়েছে। কোড. google.com/p/chromium/issues/detail?id=123150
মোশে কাটজ
4
এই বাগ রিপোর্টটি পড়ে আমার ক্রোম ২০-এ আবার যুক্ত হয়ে যায় tain অবশ্যই, আমি আশা করি এটি না থাকলে এটি নিয়ে প্রচুর অভিযোগ চালিয়ে যেতে দেখবেন।
দোলা
আমি এখন এটি ইন্টারনেট এক্সপ্লোরারের জন্য অনুরোধ করেছি: কান্টে..মাইক্রোসফট / আইই / ফেডব্যাক / বিবরণী / 3587৩৫75৫/২ । সামান্য ভিন্ন ব্যবহারের ক্ষেত্রে, তবে একই সমস্যার সমাধান করে;)
সাইমনসিমসিটি
@ ডায়াগো যদি পাসওয়ার্ডে '@' থাকে তবে এটি কার্যকর হয় না। এটি মারাত্মক ত্রুটি দেয়, কেউ কি আমাকে বলতে পারেন যে আমরা কীভাবে একবারে ব্যবহারকারীর নাম এবং পাসওয়ার্ড দিতে পারি
আশীষ জৈন
@ আশিষজাইন - আমি @পাসওয়ার্ডের মধ্যে দিয়ে পালাতে চেষ্টা করব %40। (যদিও এটি কাজ করে কিনা তা আমি জানি না এবং এটি সার্ভার বা ব্রাউজার / সার্ভার সংমিশ্রণের উপর নির্ভর করে।)
ডেভিড মোলস
0

জিইটি প্যারামিটারে কোনও স্ট্রিং প্রেরণ করা (স্পষ্টতই) সম্ভব, যদিও লগইন এবং পাসওয়ার্ড প্রেরণের জন্য এটি প্রস্তাবিত নয় তবে এটি অত্যন্ত দৃশ্যমান করতে পারে, বিশেষত যদি এটি এজেএক্স অনুরোধে না থাকে।

যাইহোক, আপনাকে লগইন এবং পাসওয়ার্ড নিষ্কাশন করতে সার্ভার পৃষ্ঠার কোড করতে হবে এবং তারপরে যা যা প্রয়োজন সেগুলি যাচাই করে ব্যবহার করতে হবে।

স্টিভ স্মিথ
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.