【HTTP】http 401Basic验证和WWW-Authenticate、Authorization

HTTP 401认证机制与WWW-Authenticate、Authorization解析
最新推荐文章于 2025-11-06 19:45:34 发布
原创 最新推荐文章于 2025-11-06 19:45:34 发布 · 8.7k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#HTTP #401 #WWW-Authenticate #Authorization #响应头

本文介绍了HTTP协议中的401 Unauthorized状态码,以及如何利用响应头WWW-Authenticate和请求头Authorization进行基本认证。虽然这种方法在cookie禁用时提供了一种替代方案,但其安全性较低,因为Base64编码易被破解。在初次认证后,浏览器会在后续请求中自动附带Authorization头。

借阅资料:《HTTP使用BASIC认证的原理及实现方法》


        翻看HTTP协议原书,第三部分第十一章 识别、认证与安全,当cookie禁用的时候可以利用401状态码以及响应头WWW-Authenticate来进行。cookie被禁用,一是服务不可用,提醒用户开启cookie功能,譬如网易163邮箱就是这么干的;另一个就是URL重写,java中response.encodeURL方法会自动判断客户端是否禁用cookie然后在url后main追加选项JSESSIONID,但是这种编码比较麻烦。

        小网站可以利用401状态码和响应头WWW-Authenticate来搞一搞,玩一下,但是这种方式很不安全···base64太容易就被破解了。

        另外,需要知道的是,在第一次认证的时候,初次响应是没有完整的响应头的;在认证过后,浏览器在会话存活之间,每一次请求都会带着请求头Authorization,如下截图。


最低0.47元/天 解锁文章
HTTP认证之基本认证
Ghosind
10-30 2579
简单介绍HTTP协议中的基本认证(Basic Authentication)。
HTTP 第七章 身份验证
aXin_li的博客
04-29 4284
身份验证是一种在HTTP请求中验证用户身份的方法。它允许Web服务器验证用户的身份,并且只授予已验证用户访问受保护资源的权限。
www-authenticate
happyqwz的专栏
02-17 4793
www-authenticate是一种简单的用户身份认证技术。 很多验证都采用这种验证方式,尤其在嵌入式领域中。 优点:方便 缺点:这种认证方式在传输过程中采用的用户名密码加密方式为BASE-64,其解码过程非常简单,如果被嗅探密码几乎是透明的. 服务器收到请求后,首先会解析发送来的数据中是否包含有: Authorization: Basic XXXX=这
HTTP 401 状态码详解:未授权的含义与解决办法
最新发布
爱编程的鱼的博客
11-06 1724
HTTP 401状态码是现代Web开发API设计中不可或缺的重要组成部分。它不仅是技术层面的一个响应代码,更是构建安全、可靠应用系统的基石。通过深入理解401状态码的原理、掌握各种场景下的解决方案、遵循安全最佳实践,开发者可以构建出更加健壮用户友好的应用程序。 记住,良好的401错误处理不仅仅是技术问题,更是用户体验的重要组成部分。一个设计良好的认证流程应该在安全性便利性之间找到平衡,让用户在需要时能够顺畅地完成认证,同时在出现问题时获得清晰明确的指导。
http 401错误解析
热门推荐
patronsaint的专栏
06-01 16万+
<br />HTTP 401 错误 - 未授权: (Unauthorized)<br />介绍<br />您的Web服务器认为,客户端(例如您的浏览器或我们的 CheckUpDown 机器人)发送的 HTTP 数据流是正确的,但进入网址 (URL) 资源 , 需要用户身份验证 , 而相关信息 1 )尚未被提供, 或 2 )已提供但没有通过授权测试。这就是通常所知的“ HTTP 基本验证 ”。 需客户端提供的验证请求在 HTTP 协议中被定义为 WWW验证标头字段 (WWW-Authenticate h
WWW-Authenticate 头字段 Authorization 头字段的区别
yu2yu3yu2的专栏
10-19 1025
头字段是客户端向服务器发送的摘要认证响应。这两个头字段在 SIP 摘要认证中协同工作,确保通信的安全性身份验证。头字段是服务器向客户端发出的认证挑战,而。
www-authenticate与BASE-64认证技术
weixin_30263073的博客
08-28 306
www-authenticate是一种简单的用户身份认证技术。很多验证都采用这种验证方式,尤其在嵌入式领域中。优点:方便缺点:这种认证方式在传输过程中采用的用户名密码加密方式为BASE-64,其解码过程非常简单,如果被嗅探密码几乎是透明的.服务器收到请求后,首先会解析发送来的数据中是否包含有:Authorization: Basic XXXX=这种格式的数据如果没有这样的header数据那么服...
WWW-Authenticate
04-02
`WWW-Authenticate` 是 HTTP 协议中的响应头字段之一,主要用于指示客户端需要提供身份验证信息才能访问受保护资源。当服务器接收到未授权的请求时,通常会返回状态码 `401 Unauthorized` 并附带此头部。 #### 响应...
ring-basic-authentication:强制执行基本身份验证的环形中间件
01-29
当用户试图访问受保护的资源时,服务器会返回一个401未经授权的响应,包含一个WWW-Authenticate头,提示客户端进行身份验证。客户端随后会发送一个新的请求,这次包含了Authorization头,其值为"Basic "加上Base64...
Http协议WWW-Authenticate
碧血丹心
03-06 5683
HTTP协议有一个叫WWW-Authenticate的头字段,可以用于实现登录验证。它是在RFC 2617中定义的。 当服务器接收到一个request,并在实现下面的代码: [code="java"] http_response.addHeader('WWW-Authenticate', 'Basic realm...'); http_response.setContentType(Mim...
WWW-authenticate 登录验证
ShirleyJade的专栏
11-30 1万+
public class BasicLoginFilter implements Filter { @Override public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain filterChain) throws IOException, ServletException { HttpServ
HTTP, WWW-Authenticate, Authorization 验证授权 | Apache验证 | Python处理
weixin_33697898的博客
10-25 1094
2019独角兽企业重金招聘Python工程师标准>>> ...
osip www-authenticate认证
H265技术专栏
01-05 808
1、www-authenticate简介 www-authenticate是早期的一种简单的,有效的用户身份认证技术。 它是在RFC2617中定义的。 很多网站验证都采用这种简单的验证方式来完成对客户端请求的数据的合法性进行验证。尤其在嵌入式领域中,此方法使用较多。  缺点:这种认证方式在传输过程中是明码传输的,采用的用户名密码加密方式为BASE-64,其解码过程非常简单,网络上很容易搜索到
[转] 用WWW-Authenticate实现登录验证
Deeyac的专栏
08-21 3673
WWW-Authenticate实现登录验证文章来源:http://www.keakon.cn/bbs/thread-1989-1-1.html今天在研究HTTP协议时发现一个叫WWW-Authenticate的头字段,可以用于实现登录验证。它是在RFC 2617中定义的。<br /><br />用法很简单,将状态码设为401,在响应头中加上这个字段即可: 引用:WWW-Authenticate: Basic realm="testrealm@keakon.cn" 浏览器接收到这个响应后,就会弹出这样
WWW-Authenticate实现登录验证
学习笔记
07-29 5408
string base64EncodedAuthorizationString ="username" + ":" + "password"; byte[] binaryData = new Byte[base64EncodedAuthorizationString.Length]; binaryData = Encoding.UTF8.GetBytes(base64EncodedAuthorizationString); base64EncodedAuthorizationSt
(chap6 Http首部) 响应首部字段 Server&Vary&WWW-Authenticate
thefist的专栏
05-05 479
7. Server 当前服务器上安装的HTTP服务器应用程序的信息。 首部字段Server告知客户端当前服务器上安装的HTTP服务器应用程序的信息。不单单会标出服务器上的软件应用名称,还有可能包括版本号安装时启用的可选项。 eg. Server: Apache/2.2.17(Unix) Server: Apache/2.2.6(Unix) PHP/5.2.5 8. Vary 当代理服务器接收到带有Vary首部字段指定获取资源的请求时,如果使用的Accept-Language字段的值相同,那么就直接从缓
www-authenticate认证过程浅析
xhch2009的专栏
07-22 1173
1、www-authenticate简介        www-authenticate是早期的一种简单的,有效的用户身份认证技术。很多网站验证都采用这种简单的验证方式来完成对客户端请求的数据的合法性进行验证。尤其在嵌入式领域中,此方法使用较多。 缺点:        这种认证方式在传输过程中是明码传输的,采用的用户名密码加密方式为BASE-64,其解码过程非常简单,网络上很
如何在Loadrunner11中解决HTTP BASIC认证登录报401的问题
hijk7的博客
10-07 268
如何在Loadrunner11中解决HTTP BASIC认证登录报401的问题
[转]www-authenticate认证过程浅析
m0_37477061的博客
02-28 398
https://blog.csdn.net/maoliran/article/details/51841420
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值