Estoy desarrollando una API que está planeada para usar el modo de autenticación simple de usuario y contraseña. Tengo experiencia con solicitudes HTTP y tendía a pensar todo como una solicitud HTTP.
Como el nombre de usuario y la contraseña nunca deben estar expuestos, ¿una solicitud de CURS ocultará la información de autenticación o aparecería como cualquier otro valor posterior en el monitor de red de Fiddler o Chrome?
Hay un par de piezas para esto.
Si se conecta a su API a través de una conexión no cifrada, el nombre de usuario / contraseña y todo lo demás serán visibles para las personas que pueden detectar el tráfico. Cosas como la autenticación HTTP Digest harán las cosas un poco más difíciles, pero en última instancia, todavía hay una vulnerabilidad allí. Si (por cualquier motivo) no puede usar SSL HTTP Digest es mejor que HTTP básico.
Suponiendo que configura SSL para proteger la información en tránsito, la visibilidad de las credenciales dependerá de cómo configure las cosas.
Si configura su proxy para que sea algo como fiddler y lo configure para interceptar conexiones SSL, entonces cuando los datos pasen a fiddler, será visible allí, de lo contrario no debería ser visible.
Una cosa a tener en cuenta en todo esto es que no debería importar qué herramienta del lado del cliente esté utilizando aquí (cURL / wget / a browser) la seguridad está configurada en el lado del servidor.
Lea otras preguntas en las etiquetas rest