关闭

互联网安全(一)摘要认证

214人阅读 评论(3) 收藏 举报
分类:

一、为什么需要认证

  经由HTTP协议进行通信的数据大多都是未经过加密的明文,包括请求参数、返回值、cookiehead等数据,因此,外界通过对通信的监听,便可以轻而易举地根据请求和响应双方的格式,伪造、修改、窃取信息。而且相对TCP来说,HTTP的通信更易于攻击。

 

  所以,为了防止在通信的过程中,数据被中途拦截和修改;或者虚假的客户端冒充正常的客户端发起请求,非法获取数据;再或者是客户端与虚假的服务端进行通信,将个人信息泄露给恶意的攻击者,需要对请求和响应的参数及客户端的身份进行认证,以保住正确信息发送给了合法的接收者。

 

二、原理

  对于普通的非敏感数据,我们更多关注其真实性和准确性。因此,如何在通信过程中保障数据不被篡改,才是考虑的首要问题。

常见的摘要算法包括:MD5SHA等。用户先发出一个没有认证证书的请求,Web服务器回复一个带有WWW-authenticate头的响应,指明访问所请求的资源需要证书。但是和基础认证发送以Base64编码的用户名和密码不同,在摘要认证中服务器让客户选一个随机数(称作”nonce“),然后浏览器使用一个单向的加密函数生成一个消息摘要(messagedigest),该摘要是关于用户名、密码、给定的nonce值、HTTP方法,以及所请求的URL。消息摘要函数也被成为散列算法,是一种在一个方向上很容易计算,反方向却不可行的加密算法。与基础认证对比,解码基础认证中的Base64是很容易办到的。在服务器口令中,可以指定任意的散列算法。

 

三、实现

HttpURLConnection hc = null; 
        try
        {
            hc = (HttpURLConnection) new URL(url).openConnection();
            hc.setConnectTimeout(10000);
            hc.setReadTimeout(10000);
            hc.setDoInput(true);
            hc.setDoOutput(true);
            hc.setUseCaches(false);
 
                        String content = param;
                DataOutputStream out = new DataOutputStream(hc.getOutputStream());
                 
                out.writeBytes(content);
                out.flush();
                out.close();
                //从hc中取出sessionId
                for (int i = 1; (key = hc.getHeaderFieldKey(i)) != null; i++)
                {
                    if (key.equalsIgnoreCase("Set-Cookie"))
                    {
                        sessionId = hc.getHeaderField(key);
                        sessionId = sessionId.substring(0, sessionId.indexOf(";"));
                        break;
                    }
                }
BufferedReader reader = new BufferedReader(
                        new InputStreamReader(hc.getInputStream()));
                String lines;
                while ((lines = reader.readLine()) != null)
                {
                    break;
                }
                 
                reader.close();
 catch (Exception e)
        {
            //
            //e.printStackTrace();
            return false;
        }
        finally
        {
            // 断开连接
            hc.disconnect();
        }



0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:125017次
    • 积分:5593
    • 等级:
    • 排名:第4675名
    • 原创:127篇
    • 转载:1篇
    • 译文:0篇
    • 评论:1896条
    博客专栏
    最新评论