一文了解基本身份验证与摘要式身份验证

于 2024-09-12 09:45:56 发布
阅读量188 收藏 1
点赞数 3
文章标签: 数据库 网络 gitlab 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80115097/article/details/142166771
版权

图片

基本身份验证(Basic authentication):是 HTTP 支持的身份验证。它依赖于用户代理[浏览器]来提供用户名和密码字段以供用户填写。它称为基本身份验证,因为它以纯文本形式或以 Base64 编码发送凭据。

图片

摘要式身份验证(Digest Authentication):另一种类型的 HTTP 支持的身份验证被认为比基本身份验证更安全,因为它将散列密码与其他值而不是纯文本一起发送到服务器。

图片

身份验证步骤

1-客户端发送请求访问服务器上的资源,即/resources/

2- 服务器以 401 未经授权状态以及随机数和不透明的随机值进行响应,并提示用户通过浏览器的弹出框输入所需的凭据。

图片

浏览器弹出框

3- 客户端通过新请求将凭证发送到服务器以访问所请求的资源。数据包中将包含客户端的用户名、服务器托管资源的“域”;在本例中为“example@host.com[1]”,请求的资源即/资产和响应值。

响应值是密码、随机数和不透明值的哈希值,与服务器在第一个响应中发送的值相同(简单理解就是客户端与服务端协商生成hash进行比对)。

GET /resources/ HTTP/1.0Host: localhostAuthorization: Digest username=”newUser”realm=”example@host.com”nonce=”dcd98b7102dd2f0e8b11d0f600bfb0c093"uri=”/resources/”response=”6629fae49393a05397450978507c4ef1"opaque=”5ccc069c403ebaf9f0171e9517f40e41"

4- 如果凭据正确即身份验证通过,客户端将收到 200 OK 响应并能够访问资源。

参考

https://en.wikipedia.org/wiki/Digest_access_authentication

https://www.pentesteracademy.com/video?id=175

无偿获取网络安全优质学习资料与干货教程

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

黑客大佬
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一文读懂 HTTPS :HTTPS握手与TLS证书链校验
bjxiaxueliang的CODING技术小馆
06-23 1931
HTTPS协议详解 从事移动互联网软件开发的小伙伴肯定了解:自Android 9.0开始,应用程序的网络请求默认使用https;基本是同期苹果IOS在应用网络请求方面,也强制使用https禁止http。 这一期间如果你去面试,不了解Https的握手过程,都不好意思讲工资。 本人一个普通程序员,项目期间工期紧张,并未抽出时间详细了解Https网络请求过程中TLS握手过程,因此这件事一直在我的待办记录中… 这篇文章以Wireshark抓包,详细了解Https请求中TLS的握手过程 与 客户端证书校验过程。 H
一文带你了解Nginx基础知识 | 建议收藏
【CSDN】
08-04 1211
目录 1. 概述 2. 历史背景 3. nginx的优点 4. 主要组成部分 5. 版本规则 6. 版本选择 7. 编译配置 8. 开始编译 9. 配置语法 10. 重载,热部署,日志切割 1. 重载配置文件 2. 热部署 3. 日志切割 11. 静态资源Web服务器 1. 开启gzip 2. 打开目录结构 3. 网速限制 4. 日志 12. 反向代理服务 1. 缓存 13. 监控access日志 14. SSL安全协议 15. 对称加密、非对称加密 16
一文理解 Windows 身份验证原理
qq_28205153的博客
08-19 6562
身份验证是用于验证对象或个人身份的过程。对对象进行身份验证时,目标是验证该对象是真实的。在对某人进行身份验证时,目标是验证该人不是冒名顶替者。 在网络环境中,身份验证是向网络应用程序或资源证明身份的行为。通常,通过使用仅用户知道的密钥(如公共密钥密码学)或共享密钥的加密操作来证明身份。身份验证交换的服务器端将签名的数据与已知的加密密钥进行比较,以验证身份验证尝试。 Windows操作系统实现了一组默认的身份验证协议,包括Kerberos、NTLM、传输层安全性/安全套接字层(TLS / SSL)和摘要,作为
一文了解Https
热门推荐
李永志的博客
03-11 1万+
大家都听说过Http和Https,这两者有什么区别呢?为什么要使用Https呢,本文对Https协议做了简单的讲解。
一文了解数字证书
码灵的博客
09-13 3029
1 概述 数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形保证了信息和数据的完整性和安全性。 数字证书从本质上来说是一种电子文档,是由电子商务认证中心(以下简称为CA中心)所颁发的一种较为权威与公正的证书,对电子商务活动有重要影响,例如我们在各种电子商务平台进行购物消费时,必须要在电脑上安装数字证书来确保资金的安全性。 ...
一文了解工作流引擎
shangjg3的博客
12-20 643
众所周知,市面上存在很多工作流引擎,比如activiti、camunda、flowable等,但其功能基本都是大同小异,除了工作流本身的机制外,也会遵从标准的规范,下面就围绕工作流引擎重要的三大标准规范BPMN、CMMN、DMN展开介绍。随着用户审美需求的提高,简易的流程设计已经无法完全满足现代的可视化需求了,因此像钉钉,宜搭等也都构建了符合普通用户审美需求的工作流设计器,不过对于企业级地复杂流程还是建议采用符合BPMN2.0标准的流程设计器以设计更加复杂的流程场景。但是,如果数据没有流动,就没有工作流。
安全算法之概述】一文带你简要了解常见常用的安全算法(RT-Thread技术论坛优秀文章)
一个专注于嵌入式IoT领域的架构师,深耕IoT领域多年,深度掌握IoT领域的相关技术栈,包括但不限于RTOS内核的实现及其移植、硬件驱动移植开发、网络通讯协议开发、编译构建原理及其实现、底层汇编及编译原理、编译优化及代码重构、嵌入式IoT系统的架构设计等。
10-20 1万+
安全算法】一文带你简要了解常见常用的安全算法**0 前言****1 算法的大致分类****2 对称加解密算法****2.1 DES/TDES算法****2.2 AES算法****2.3 SM4算法****2.4 RC2、RC4算法****2.5 对称加密算法对比总结****3 非对称加解密算法****3.1 对称加密算法与非对称加密算法的本质区别****3.2 非对称加密算法的分类和对比****3.2.1 RSA算法****3.2.2 SM2算法****3.2.3 ECC算法**3.2.3.1 **优点*
为什么浏览器会提示网站“不安全”?一文读懂https协议与SSL证书
云计算分享家
03-20 2097
为什么浏览器会提示网站“不安全”?从浏览器的“不安全”提示来详细了解https与SSL证书 我们打开很多http网站时候,会看到浏览器提示“不安全”,而打开https网站却没有这个提示,这是为什么呢?当用户访问网站时遇到浏览器展示“不安全”标识,大部分的用户将会提升警惕,甚至有人会认为这是一个不合法的站点,这对于企业网站影响更大,对于企业形象及网上业务开展都有...
HTTPS 超详解 一文搞定HTTPS面试知识
林夏天的博客
05-01 5672
目录 1. HTTP基本原理 基本概念 HTTPS 优缺点 2. 加密 共享密钥加密 公开密钥加密 HTTPS采用混合加密机制 3. 证书 数字证书 EV SSL 证书 客户端证书 自签名证书 4. HTTPS的安全通信机制 HTTPS 通信过程 具体版 通信过程 简要版 通信过程 不一直使用 HTTPS的原因 SSL 和 TLS SS...
spring事务详细讲解-深入浅出
小电玩
09-08 469
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境中设置的隔离级别,调整数据库隔离级别。
【提效工具】AI工作流的1-10个实际落地场景
万物皆有灵
09-09 882
在这个快速发展的数字时代,人工智能(AI)正在以惊人的速度改变我们的工作方。无论你是开发者、教育工作者还是内容创作者,AI工作流提示词助手都能为你提供无与伦比的支持。今天,我们将深入探讨,20个实际落地场景,帮助你更好地理解如何利用这些工具提升工作效率和创造力。💡。
jmeter之setUP、tearDown线程组
回家吃月饼的学习交流地
09-07 526
jmeter之setUP、tearDown线程组的使用
【MYSQL】
ABC1234567890ABM的博客
09-06 980
单列索引情况:根据下图可以看到,查询条件中有phone和name,他们都有单列索引,但是执行explain后发现真正只走了phone的索引,因为phone索引中没有name值,故还需回表走一次聚簇索引。为了避免DML在执行时,加的行锁与表锁的冲突,在InnoDB中引入了意向锁,使得表锁不用检查每行数据是否加锁,使用意向锁来减少表锁的检查。全局锁就是对整个数据库实例加锁,加锁后整个实例就处于只读状态,后续的DML的写语句,DDL语句,已经更新操作的事务提交语句都将被阻塞。表级锁,每次操作锁住整张表。
币安/OK现货合约量化系统APP开发
I592O929783的博客
09-08 539
后端:考虑系统需要处理大量实时数据和高频交易的特点,选择高性能的编程语言和技术框架,如Python的Django或Flask框架,Java的Spring Boot等。用户交互界面:设计直观易用的用户交互界面,包括交易界面、策略配置界面、风险管理界面等,方便用户进行交易操作、策略配置和风险管理。市场数据接入:开发市场数据接入模块,从币安等交易所或数据服务商获取实时的市场数据,包括行情数据、订单簿数据、成交数据等。前端:选择适合开发复杂界面的前端框架,如React、Vue.js等,以提供用户友好的交互界面。
问题: java.sql.SQLException:The server time zone value ‘�й���׼ʱ��‘
m0_74293254的博客
09-08 315
译文: Mybatis Plus服务器时区值“h”无法识别或表示多个时区。如果希望利用时区支持,必须配置服务器或JDBC驱动程序(通过serverTimezone配置属性)以使用更具体的时区值。出现上述问题后,一般为数据库连接的url地址配置中,没有配置时区serverTimezone=UTC或配置错误,修改下即可。
基于SpringBoot的旅游管理系统
heye0910032的博客
09-08 399
随着科技的发展,旅游管理系统的信息化成为提升旅游服务效率的关键。本系统采用JSP技术和SpringBoot框架,结合MySQL数据库,旨在实现一个功能全面、操作简便、安全可靠的旅游管理平台。系统通过需求分析、系统设计、功能实现和测试,确保了良好的用户体验和数据处理能力,为旅游业务的现代化管理提供了强有力的技术支持。本研究成功开发了一个基于SpringBoot的旅游管理系统,该系统通过集成多种旅游管理功能,显著提高了旅游服务的效率和质量。系统的用户友好界面和强大的后端功能,使得管理员和用户都能从中受益。
Oracle 12c 及以上版本补丁更新说明及下载方法
最新发布
zd1320732的专栏
09-10 203
参考下面的文章,会对补丁更新的流程有一定的了解
Ruoyi Cloud 本地启动
maplecsd的博客
09-09 1946
参考 http://doc.ruoyi.vip/ https://gitee.com/y_project/RuoYi-Cloud https://blog.csdn.net/cs_dnzk/article/details/135289966 https://doc.ruoyi.vip/ruoyi-cloud/cloud/seata.html#%E5%9F%BA%E6%9C%AC%E4%BB%8B%E7%BB%8D 拉取代码本地跑通 用 git 从 ruoyi 微服务版仓库拉取代码:https://gitee
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值