48.HTTP基本认证与摘要认证

最新推荐文章于 2024-04-28 11:34:51 发布
最新推荐文章于 2024-04-28 11:34:51 发布
阅读量1w 收藏 13
点赞数 2
分类专栏: Web后台技术 文章标签: 摘要认证 基本认证 HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a464057216/article/details/52705855
版权

文章目录

转载请注明原始出处:http://blog.csdn.net/a464057216/article/details/52705855

后续此博客不再更新,欢迎大家搜索关注微信公众号“测开之美”,测试开发工程师技术修炼小站,持续学习持续进步。
在这里插入图片描述

基本认证与摘要认证用于在HTTP报文交互中,服务端确认客户端身份。

基本认证

在HTTP 1.0提出,服务器收到客户端请求,返回401 UNAUTHORIZED,同时在HTTP响应头的WWW-Authenticate域说明认证方式及认证域,比如:

这里写图片描述

如果客户端是浏览器,收到401后会弹出对话框要求输入用户名及密码:

这里写图片描述

输入的用户名和密码会按照username:password的格式拼接后用base64编码,填入请求报文头部的Authorization域,如Basic bWFyczpsb28=。如果输入的是错误的用户名和密码,服务器会反复要求输入用户名及密码,直至正确或用户点击取消按钮放弃认证。如果输入的是正确的用户名及密码,浏览器返回认证通过后的页面。
由于base64编码本身是可逆的过程,所以如果有中间人截获报文后,通过重放攻击即可获取正确授权。基本认证这种方式适合于弱认证要求的场景:

这里写图片描述

上面的base64字符串的解密过程如下:

这里写图片描述

摘要认证

在HTTP 1.1提出,服务器收到客户端请求后返回401 UNAUTHORIZED,同时在WWW-Authenticate字段说明认证方式是Digest,其他信息还有realm域信息、nonce随机字符串、opaque透传字段(客户端会原样返回)等:

这里写图片描述

浏览器收到响应后,弹出对话框要求用户输入用户名和密码。与基本认证不同在于,摘要认证不会发送原始密码,注意请求中的response字段,是通过其他字段及密码经过一系列摘要运算(md5)得到的:

这里写图片描述

服务端收到请求后,由于其知道用户的原始密码及其他字段信息,使用同样的算法进行摘要计算后,与response字段比较即可验证用户的合法性。服务器端通过更新每次交互过程中的nonoce字段的值,可以保证一定的安全性。

之所以说是一定的安全性,是因为基本认证和摘要认证都是通过用户名+密码的形式对客户端身份进行认证,认证消息都放在HTTP报文头中。因为HTTP报文本身是不加密的,所以只要中间人能够截获交互过程中的报文头,仍然可以仿冒客户端与服务端进行通信。如果要加密交互过程中的报文交互,要采用HTTPS协议。

如果觉得我的文章对您有帮助,欢迎关注我(CSDN:Mars Loo的博客)或者为这篇文章点赞,谢谢!

如下几篇文章是我在学习HTTP协议时总结的博文,欢迎参考:

  1. HTTP缓存
  2. HTTP代理与重定向
  3. HTTP、HTTPS基本原理
Mars_Loo
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
HTTP基本接入认证--urllib 与 request
weixin_44521703的博客
07-19 694
url = ‘http://www.pythonchallenge.com/pc/return/evil4.jpg’ 以前总搞不定这种,因为不知道如何提交表单,最近才看到一本很老的书上,写的这是在发明cookie以前,处理网站登陆的一种基本接入认证-----HTTP基本接入认证(HTTP basic access authentication),在一些安全性较高的网站上仍会存在,以及一些API上...
node.js简单的实现http摘要验证
11-09
首先,让我们了解HTTP摘要认证基本原理。在HTTP摘要认证中,客户端发送请求时,会包含一个特殊的`Authorization`头字段,该字段包含了用户名、随机的nonce(一次性随机数)以及一个由用户名、随机数、密码和请求...
http --- > 基本认证摘要认证
栗子好好吃的博客
06-20 413
基本认证: // (a)客户端:查询 GET /cgi-bin/checkout?cart=17854 HTTP/1.1 // (b)服务器:质询 HTTP/1.1 401 Unauthorized WWW-Authenticate: Basic realm="Shopping Cart" // (c)客户端:响应 GET /cgi-bin/checkout?cart=17854 HTTP/1...
http的basic 认证方式
最新发布
wang0907的博客
04-28 2018
basic auth是一种http协议规范中的一种认证方式,即一种证明你就是你的方式。更进一步的它是一种规范,这种规范是这样子,如果是服务端使用了basic auth认证方式来处理用户请求的话,会从header中获取的头信息,如果是没有该头信息或者是头信息不正确,则会返回401状态码,并添加响应头。如果是浏览器收到了服务端的401响应,并且判断有www-authenticate头信息的话则会弹出自带的用户名密码录入框让用户录入信息,用户录入后浏览器会对录入的信息按照格式。
HTTP协议:基本认证摘要认证
路好远
05-18 454
HTTP协议:基本认证摘要认证 认证就是客户端要给服务器出示一些自己的身份证明,来证明自己是谁!一旦服务器知道了客户端的身份,就可以判定客户端可以访问的事务和资源了。 在HTTP中,认证通常是通过提供用户名和密码来进行认证的。我们来介绍一下常用的两种认证方式:基本认证摘要认证! 一、基本认证基本认证中,Web服务器可以拒绝一个事务,质询客户端,请用户提供有效的用户名和密码。服务器会...
HTTP 认证基本认证摘要认证
Gnahzi
09-26 834
平时我们浏览网站时要登录的话需要提供帐号和密码以便验证身份,同理 HTTP 认证也是如此,但客户端需要访问服务器获取私人资源的话,就需要提供信息身份证明给服务器验证,验证通过才返回资源。 HTTP 官方定义了 2 个协议:基本认证(basic authentication)和摘要认证(digest authentication)。 一、基本认证 基本认证是目前最流行的 HTTP 认证协议,于 HTTP/1.0 规范中提出。基本认证过程中,服务器可以拒绝一个事务,质询客户端要求提供用户名和密码,服务器会返回
HTTP认证基本认证摘要认证HTTPS+表单认证
灰哥数据智能的专栏
05-26 1326
一、HTTP认证 认证就是给出一些身份证明,说明你是声称的那个人。 HTTP提供了一个原生的质询/响应的框架: (1)客户端请求服务器的某一受保护的资源 (2)服务器拒绝提供资源,并向客户端发起质询,询问用户名和密码 (3)客户端向服务器传送用户名、密码 (4)服务器检验认证成功,将资源提供给客户端 二、基本认证(Basic认证基本认证步骤: (1)客户端请求服务器某一受保护的资源 (2)服务器拒绝提供资源,并对客户端进行质询,返回一条状态为401 (Unauthoriz.
http鉴权认证
04-03
- **HTTP摘要认证**:比基本认证更安全,它使用哈希函数对用户名、密码和随机字符串进行计算,然后发送哈希值,服务器端再进行验证。 - **OAuth**:主要用于第三方应用获取用户资源的授权,常见于社交媒体登录。 ...
WebApi摘要认证
09-03
摘要认证HTTP协议中的一个标准身份验证方法,它比基本认证更安全,因为它在传输过程中不直接暴露用户的明文密码。本文将深入探讨WebAPI摘要认证的原理、配置以及如何在Winform应用中调用WebAPI。 摘要认证基于...
认证算法.rar
05-28
开发者可以利用这个工具来计算字符串或文件的MD5摘要,并与其他MD5值进行比较。 Basic认证HTTP基本身份验证方法。当用户试图访问受保护的资源时,服务器会发送一个401 Unauthorized响应,其中包含一个...
RIPv认证故障处理与优化RIPv认证.pptx
11-26
这里的“usual”关键字表示使用基本的MD5认证模式,而“huawei”是MD5密钥。 **RIPv2报文格式与认证字段** RIPv2的报文格式包括多个字段,其中的认证字段用于存储认证信息。在明文认证中,密码直接以文本形式存在...
Spring Security 学习之HTTP基本认证HTTP摘要认证
weixin_34148508的博客
02-11 141
HTTP基本认证1. 简介在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。在发送之前是以用户名追加一个冒号然后串接上口令,并将得出的结果字符串再用Base64算法编码。例如,提供的用户名是Aladdin、口令是open sesame,则拼接后的结果就是Aladdin:open sesame,然后再将其用...
HTTP基本认证
qq_36428954的博客
05-23 3843
HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供用户名和密码的一种方式。 在进行基本认证的过程里,请求的HTTP头字段会包含Authorization字段,形式如下:Authorization: Basic <憑證>,该凭证是用户和密码的组和的base64编码。 最初,基本认证是定义在HTTP 1.0规范(RFC 1945)中,后续的有关安全的信息可以在HTTP 1.1规范(RFC 2616...
HTTP认证方式(基础认证摘要认证
fengruoying93的专栏
04-19 180
参考:https://www.cnblogs.com/xiaoxiaotank/p/11078571.html
基本认证摘要认证
weixin_30496431的博客
06-13 141
本文总结自:https://www.cnblogs.com/huey/p/5490759.html 浏览器与服务端之间可以通过cookie进行身份验证,那么,桌面应用程序与服务端呢? BASIC认证(基本认证) 当客户端向服务端进行数据请求时,如果客户端尚未被认证,则http服务器将使用基本认证对客户端的用户名密码进行认证,以确认用户是否合法,一般方法为 将 用户名:密码 用base64加...
HTTP 基本认证 HttpBasic
qq_35930739的博客
10-16 8150
HTTP认证机制 基本认证摘要认证 一、基本认证 用BASE64算法加密后的字符串放在HTTP Request中的Header Authorization中发送给服务端, 这种方式叫HTTP基本认证(Basic Authentication) Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。 HTTPBasic是由HTTP协议定义的最基础的认证方式。每次请求时.
HTTP基本认证(Basic Authentication)
热门推荐
一个写了10年bug的程序员日常笔记。
11-30 3万+
在浏览网页时候,浏览器会弹出一个登录验证的对话框,如下图,这就是使用HTTP基本认证。 1、 客户端发送http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的话, 服务器会返回一个401 Unauthozied给客户端,并且在Response 的 header “WWW-Authenticate” 中添加信息。 如下图。2、:浏览器在接受到401 Unautho
Http基本认证
白羊座的橙子
08-06 391
HTTP摘要认证HTTP基本认证一样,也是在RFC2616中定义的认证模式与 HTTP 基本认证相比,HTTP 摘要认证使用通信双方都可知的口令进行校验,且最终的传输数据并非明文形式HTTP 摘要基本认证意在解决 HTTP 基本认证存在的大部分严 重漏洞,但不应将其认为是Web安全的最终解决方案。在未经验证的请求发起时,服务器会首先返回一个401应答,并携带相关的参数,期待客户端依据这些参数继续做出回应,以完成整个验证过程。
HTTP认证介绍(Basic基本认证和Digest摘要认证)和搭建windows HTTP服务器
mayue_web的博客
09-26 2710
HTTP认证是一种用于保护Web应用程序的一种身份验证机制。它通过在HTTP请求的头部添加认证信息,来验证用户的身份和权限。HTTP认证可以用于保护敏感信息,限制访问某些资源,或者在访问某些操作之前要求用户提供凭据。HTTP认证有几种不同的认证方式,包括:Basic认证:Basic认证是最常见的HTTP认证方式之一。在Basic认证中,客户端发送请求时,会在请求头中包含一个"Authorization"字段,该字段包含了经过Base64编码的用户名和密码
简述消息认证码 MAC 的基本原理。
05-23
6. 接收方将自己生成的摘要与发送方发送的摘要进行比较,如果两者相同,则说明消息没有被篡改或伪造。 MAC 的基本原理是使用密钥保证消息的完整性和真实性,因为只有知道密钥的人才能够生成正确的摘要。同时,加密...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值