RFC2617- HTTP Authentication自译本-(1)

原创 2001年02月16日 12:01:00
 

 

 

Network Working Group                                          J. Franks

Request for Comments: 2617                       Northwestern University

Obsoletes: 2069                                          P. Hallam-Baker

Category: Standards Track                                 Verisign, Inc.

                                                            J. Hostetler

                                                         AbiSource, Inc.

                                                             S. Lawrence

                                                   Agranat Systems, Inc.

                                                                P. Leach

                                                   Microsoft Corporation

                                                             A. Luotonen

                                     Netscape Communications Corporation

                                                              L. Stewart

                                                       Open Market, Inc.

                                                               June 1999

 

 

      HTTP Authentication: Basic and Digest Access Authentication

 

备忘(Status of this Memo

       本文档跟踪记录Internet团体为完善协议而进行的讨论、建议。详情请参见官方文件(STD1)。本文可任意分发。

 

版权声明(Copyright Notice

 

   Copyright (C) The Internet Society (1999).  All Rights Reserved.

 

摘要(Abstract

      

       “HTTP/1.0”中包括基本访问鉴别方案(Basic Access Authentication scheme)。该方案不是安全的用户授权方法(除非与其它安全方法联合使用,如SSL[5]),因为其用户名和口令在网络上是以明文方式传送的。

       本文档还提供了HTTP鉴别框架的规范,有关原始的基本鉴别方案和基于哈希加密的方案的内容,请参见分类访问鉴别(Digest Acccess Authentication)。从RFC2069公布以来,其中涉及的一些可选元素因为出现问题而被移出;而还有一些新的元素因为兼容性的原因而被加入,这些新元素虽然是可选的,但还是强烈建议使用的,因而,RFC2069[6]最终可能会被本规范所替代。

 

 

 

Franks, et al.              Standards Track                     [Page 1]


       与基本方式类似的是,分类鉴别授权对通讯双方都知道的秘密(如口令)进行校验;而与基本方式不同的是,该校验方式中的口令不以明文方式传输,而这正是基本方式的最大弱点。正象其它大多数授权协议那样,该协议最大的风险不在于其协议本身,而是它周边的应用程序。

 

目录(Table of Contents

1 访问鉴别(Access Authentication..................... ..................... ................................   3

1.1  HTTP/1.1规范的依赖(Reliance on the HTTP/1.1 Specification............    3

1.2 访问鉴别框架(Access Authentication Framework................. .....................   3

2 基本鉴别方案(Basic Authentication Scheme........................ ............... ...............       5

3 分类访问鉴别方案(Digest Access Authentication Scheme............. .....................     6

3.1 介绍(Introduction................................. ..................... ..................... .........  6

3.1.1  目的(Purpose...................................... ..................... .......................    6

3.1.2  操作概述(Overall Operation........................ ..................... ... ......... 6

3.1.3  分类值表示(Representation of digest values............ ......................       7

3.1.4  局限性(Limitations................................... ..................... .................       7

3.2 分类标题规范(Specification of Digest Headers................. ..................…..      7

           3.2.1 WWW-鉴别回应标题(The WWW-Authenticate Response Header..      8

3.2.2  授权请求标题(The Authorization Request Header....... ...................       11

3.2.3  鉴别信息标题(The Authentication-Info Header....... ...................….       15

3.3   分类操作(Digest Operation........................... ..................... .....................       17

3.4   安全协议商议(Security Protocol Negotiation.. ........................................       18

3.5   例子(Example...................................... ..................... ..................... ......….       18

3.6   代理鉴别和代理授权(Proxy-Authentication and Proxy-Authorization.... 19

4 安全考虑(Security Considerations............................ ..................... ...................…..       19

4.1 使用基本鉴别方式的客户端鉴别(Authentication of Clients using Basic

          Authentication.............................. ..................... ..................... .....................       19

4.2 使用分类鉴别方式的客户端鉴别(Authentication of Clients using Digest

          Authentication.............................. ..................... ..................... .....................       20

4.3 使用有限制的nonce值(Limited Use Nonce Values..................... ..............       21

4.4       用基本鉴别方式来进行分类比较(Comparison

of Digest with Basic Authentication.. ..................... ..................... ..............       22

4.5 攻击回放(Replay Attacks.............................. ..................... ........................       22

4.5       由多方鉴别方案产生的弱点(Weakness

Created by Multiple Authentication Schemes.................................. ............       23

4.7 在线字典攻击(Online dictionary attacks...................... ..................... .......       23

4.8 中间人(Man in the Middle.............................. ..................... .....................       24

4.9 选择纯文本攻击(Chosen plaintext attacks............... ..................... ............       24

4.10 用预先计算的字典攻击(Precomputed dictionary attacks............... ..........       25

4.11 批方式暴力攻击(Batch brute force attacks...................... ........ ..............  25

4.12 假冒服务器欺骗(Spoofing by Counterfeit Servers............... ...................     25

4.13 存储口令(Storing passwords........................ ..................... .....................       26

4.14 摘要(Summary................................ ..................... ..................... .............       26

5 例子实现(Sample implementation....................... ..................... ..........................   27

6 感谢(Acknowledgments.............................. ..................... ..................... .. .............  31

Franks, et al.              Standards Track                     [Page 2]

7 参考书目(References....................................... ..................... .............. ................       31

8 作者地址(Authors' Addresses............................ ..................... ............................       32

9 完整版权状况(Full Copyright Statement........................ ..................... ..................   34

RFC2617的中文版

  • 2009年12月20日 17:58
  • 268KB
  • 下载

RFC 2617中文版(HTTP Digest Authentication)

  • 2011年08月19日 09:11
  • 200KB
  • 下载

检查HTTP 的 Digest 认证代码示例-JSP

检查HTTP 的 Digest 认证. since http1.1; 请参考代码中的注释,具体信息,还可以参考《图解HTTP》 看着这本书中的HTTP-Digest认证, 写了这么一个demo代码。....
  • renfufei
  • renfufei
  • 2015年06月18日 21:50
  • 2219

使用HTTP认证

SIP为认证系统提供了一个无状态的,试错机制,这个认证机制是基于HTTP认证机制的。任何时候proxy服务器或者UA接收到一个请求(1节例外),它尝试检查请求发起者提供的身份确认。当发起方,身份确认了...
  • wh8_2011
  • wh8_2011
  • 2016年01月03日 19:21
  • 662

ASP.NET Web API(三):安全验证之使用摘要认证(digest authentication)

在前一篇文章中,主要讨论了使用HTTP基本认证的方法,因为HTTP基本认证的方式决定了它在安全性方面存在很大的问题,所以接下来看看另一种验证的方式:digest authentication,即摘要认...
  • dyllove98
  • dyllove98
  • 2013年07月05日 22:09
  • 9036

如何实现HTTP DIGEST认证

http://robblog.javaeye.com/blog/556436 http://advosys.ca/papers/web/63-http-digest-authentication...
  • z69183787
  • z69183787
  • 2015年07月31日 15:37
  • 1658

Spring Http Basic(基本)和Digest(摘要)验证

Basic(基本)和Digest(摘要)验证都是web应用中很受欢迎的可选机制。 Basic验证一般用来处理无状态的客户端,它们在每次请求都附带它们的证书。 很常见的用法是把它和基于表单的验证一起使用...
  • MrCharles
  • MrCharles
  • 2016年01月07日 12:46
  • 1279

阅读完HTTP等协议的RFC文档之后的感受

以前对于HTTP和FTP也是有所了解的,看了一遍英文版的RFC文档,虽然很痛苦,但是感觉是有所不同的。   1,HTTP所表达的控制以及描述性相关的信息都包含在了HTTP的起始行和首部之中。BNF的使...
  • javajiawei
  • javajiawei
  • 2016年01月22日 17:00
  • 2160

Http认证之Digest认证

和讲Basic篇的内容差不多,不同的是过程采用的是DIGEST认证: Tomcat配置: 1 在tomcat的webapps下新建一个目录authen,再建立子目录subdir,下面放一个...
  • zmx729618
  • zmx729618
  • 2016年05月11日 10:09
  • 1165

http digest认证过程分析及例子

验证过程:           步骤一、 客户端向服务器申请数据                         ****************************Request********...
  • cuishumao
  • cuishumao
  • 2013年09月14日 11:34
  • 1023
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:RFC2617- HTTP Authentication自译本-(1)
举报原因:
原因补充:

(最多只允许输入30个字)