Perché parla l'autenticazione HTTP di base sempre di un nome utente

-2

In Autenticazione HTTP RFC 2617: Autenticazione di base e Digest Access parlano sempre di username e password per l'autenticazione .

Perché dovrei scegliere di prendere un nome utente come identificativo per un sito web? I nomi utente sono spesso difficili da scegliere tra quelli non esistenti o unici. Ma chiunque abbia un account da qualche parte ha un'e-mail che è unica.

Perché la RFC non parla di qualcosa di astratto come un identificatore di stringa univoco? Questo avrebbe molto più senso per me, dove tutti si collegano al suo account con la sua email ...

Quando qualcuno inizia con sicurezza / autenticazione, per prima cosa penserà di leggere la RFC 2617 che non può fare l'autenticazione di base perché voglio email + password. Cosa mi manca qui?

    
posta Pascal 25.01.2014 - 19:25
fonte

3 risposte

5

Il problema qui non è tanto la specifica, quanto la tua interpretazione.

Sembra che ci sia un'abitudine tra i professionisti del computer che si aspettano sempre che il linguaggio verbale e scritto abbia lo stesso significato ben definito dei linguaggi di programmazione (cioè se si usa questa parola in una frase, si < em> deve significa questo).

Quel che è peggio è che persone diverse hanno preconcetti diversi del significato esatto e vero di certe parole e che portano a tutti i tipi di discussioni, argomenti e battaglie a tutto campo. Ecco un esempio di qualcuno che cerca di capire una differenza tra fragile e brutale e puoi leggere la mia risposta rara: link

Sei caduto nella stessa trappola con questa specifica dell'autorizzazione. Menzionano "username" e "password", ma tutto ciò che significa veramente è che le tue credenziali sono divise in due parti: parte pubblica che tutti conoscono e in grado di identificarti in modo univoco e una parte segreta privata che solo l'utente conosce in modo che possa essere autenticato. Ma alla fine, la parte pubblica (ovvero un "nome utente") può essere qualsiasi cosa tu voglia, compresa la posta elettronica di qualcuno, o in alcuni casi stupidi, la loro sicurezza sociale # o nel caso aziendale il loro identificatore univoco che mette poi su allo stesso livello di tutte le altre risorse.

    
risposta data 25.01.2014 - 20:38
fonte
0

In nessun momento si dice che il tuo indirizzo email (come un esempio) non può essere il tuo nome utente. In nessun punto si dice che il sito web che ha effettuato il login non può insistere sul fatto che il tuo indirizzo email (come un esempio) è il tuo nome utente.

Il termine per una stringa utilizzata per identificare un utente è username . Se può sempre, mai o talvolta essere un indirizzo e-mail non dipende dall'implementazione.

    
risposta data 25.01.2014 - 23:19
fonte
0

In generale, essere più precisi nello specifico con la scelta delle parole può a volte rendere la comunicazione più difficile ed ingombrante. Gli autori del documento presumevano che il loro pubblico avrebbe capito che "nome utente", "nome utente", "ID utente", "UID", "userid", "user-id", ad infinitum , sono tutti considerati sinonimi per la discussione HTTP-Auth - e in effetti per la maggior parte delle discussioni in questo campo.

Il tuo nome utente è il nome con cui "l'utente" (e il suo account associato) è conosciuto. Questo "name" "identifica" l'utente in modo univoco. Il loro nome è il loro ID, il loro passaporto, la loro Risorsa Identificativa Dipendente dal Reame Globalmente Unica, ecc.

Nella maggior parte dei casi che ho incontrato, questi termini sono usati in modo intercambiabile, liberamente, e si presume semplicemente che - essendo parte della cultura comune - capirai cosa significano con la stessa facilità di cui non hai bisogno significato preciso di "server / client" definito o la loro relazione resa esplicita.

Quindi, perché non parlano in modo più astratto o preciso? Tradizione e funziona. È improbabile che un sistema sia mai stato configurato in modo errato o progettato in modo errato a causa della scelta delle parole e che sia definito il formato valido per un ID utente. User / pass è un costrutto talmente comune che si presume possa essere compreso istantaneamente dal pubblico di destinazione.

    
risposta data 25.01.2014 - 23:42
fonte

Leggi altre domande sui tag