总结一下常用的两种HTTP安全认证机制。
1.HTTP的基本认证
1.HTTP的基本认证
过程:浏览器发起HTTP请求,如果请求的资源被加密,服务器会返回401响应,浏览器会弹出一个对话框,要求浏览器提交用户名、密码,用户在输入身份验证信息后提交到服务器,服务器验证无误后才返回资源。此过程交互过程如下图所示:
优点:
1)实现简单
2)可以有效防止非恶意用户无意访问
缺点:
1)用户名、密码虽然采用Base64编码,但是恶意用户可以轻松解码。
2)虽然可以采用更安全的加密手段,但是无法避免重放攻击。
3)HTTP报文可能被恶意用户窃取、修改。
4)每次访问用户需要输入用户名、密码,很烦。
5)用户容易被假冒的服务器钓鱼上钩。
实际用用举例:
ActiveMQ的管理后台,可以配置这种基本认证方式,进入后台会弹出一个对话框,输入用户名、密码才能进入管理页面。