[转] 用WWW-Authenticate实现登录验证

最新推荐文章于 2024-05-01 08:11:24 发布
最新推荐文章于 2024-05-01 08:11:24 发布
阅读量3.3k 收藏 2
点赞数
分类专栏: asp.net 文章标签: authorization basic 服务器 user 浏览器 加密

用WWW-Authenticate实现登录验证

文章来源:http://www.keakon.cn/bbs/thread-1989-1-1.html
今天在研究HTTP协议时发现一个叫WWW-Authenticate的头字段,可以用于实现登录验证。它是在 RFC 2617中定义的。

用法很简单,将状态码设为401,在响应头中加上这个字段即可:
引用:
WWW-Authenticate: Basic realm="testrealm@keakon.cn"
浏览器接收到这个响应后,就会弹出这样的对话框:
用WWW-Authenticate实现登录验证 - keakon的blog -

然后用户输入用户名和密码,点确定进行登录。
此时用户名和密码会以冒号:分隔,并进行base64编码,在请求头中以Authorization字段发出:
引用:
Authorization: Basic base64编码过的登录信息
服务器只要获取Authorization字段,按base64解码,再以冒号区分用户名和密码,即可验证是否正确了。由于用户名一般不允许包含冒号,所以即使密码中输入了冒号也没关系。

一个简单的实现如下:
The py code:
普通浏览 复制代码 打印代码 关于程序
  1. def get(self):   
  2.     authorization = self.request.headers.get('Authorization''')   
  3.     if authorization and authorization[:6] == 'Basic ':   
  4.         user, password = b64decode(authorization[6:]).split(':'1)   
  5.         if user == 'admin' and password == 'fuckgfw':   
  6.             self.echo('hello, ' + user)   
  7.             return  
  8.   
  9.     self.set_status(401)   
  10.     self.header['WWW-Authenticate'] = 'Basic realm="testrealm@keakon.cn"'  

当然,如果你直接这么实现的话,你的用户就惨了。因为HTTP协议是不安全的,任何窃听者都能获取Authorization字段,然后就能很轻易地获取密码了,所以这种简单的实现只能用于HTTPS。

为了确保用户的密码不被窃取,用户的登录信息应该被加密。而实际上并不需要完整的登录信息,只要一个可用于验证的摘要即可,于是服务器可以指定浏览器生成一个Digest。
所需的参数很多,有服务器生成的每次均唯一的字符串、用户请求的URI、请求序列号等。浏览器根据这些参数,与用户名、密码的MD5值用冒号组合起来,再求一次MD5,作为整个的摘要。
这样就非常安全了,只是对服务器负担较大,因为要生成一个随机字符串,还得记录请求序列号等。
好在有些库已经提供了这些功能,所以可以直接使用现成的。
转自: http://www.keakon.cn/bbs/thread-1989-1-1.html
Deeyac
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【HTTP】http 401Basic验证WWW-Authenticate、Authorization
厚积薄发者,轻舟万重山
05-31 8297
http 401Basic验证WWW-Authenticate、Authorization
passport-negotiate:协商护照(kerberos)身份验证策略
05-30
为此,客户端(浏览器)必须有权访问“凭据缓存”,这在通过直接使用“kinit”工具或使用 PAM 模块登录 Windows 或 Linux/Unix 中的域时发生在登录时执行此操作,例如将 sssd 与 kerberos DC 或 Active Directory ...
www-authenticate
happyqwz的专栏
02-17 4365
www-authenticate是一种简单的用户身份认证技术。 很多验证都采用这种验证方式,尤其在嵌入式领域中。 优点:方便 缺点:这种认证方式在传输过程中采用的用户名密码加密方式为BASE-64,其解码过程非常简单,如果被嗅探密码几乎是透明的. 服务器收到请求后,首先会解析发送来的数据中是否包含有: Authorization: Basic XXXX=这
说说你对HTTP协议中WWW-Authenticate头部的理解。
最新发布
长风破浪会有时的博客
05-01 131
举个简单的例子,如果WWW-Authenticate头部的值是“Basic realm='My Website'”,那么它就是在告诉浏览器:“请使用Basic认证方式,认证信息是属于'My Website'这个领域的。”浏览器收到这个信息后,就会帮助用户去准备相应的“门票”(认证信息),然后再次尝试访问资源。想象一下,你去参加一个需要门票的聚会。WWW-Authenticate头部就像是这个门卫一样,它的作用是告诉浏览器:“嘿,这个资源是需要认证的,你得先给我提供一些证明,我才能让你访问。
www-authenticate与BASE-64认证技术
weixin_30263073的博客
08-28 223
www-authenticate是一种简单的用户身份认证技术。很多验证都采用这种验证方式,尤其在嵌入式领域中。优点:方便缺点:这种认证方式在传输过程中采用的用户名密码加密方式为BASE-64,其解码过程非常简单,如果被嗅探密码几乎是透明的.服务器收到请求后,首先会解析发送来的数据中是否包含有:Authorization: Basic XXXX=这种格式的数据如果没有这样的header数据那么服...
WWW-Authenticate实现登录验证
学习笔记
07-29 5285
string base64EncodedAuthorizationString ="username" + ":" + "password"; byte[] binaryData = new Byte[base64EncodedAuthorizationString.Length]; binaryData = Encoding.UTF8.GetBytes(base64EncodedAuthorizationString); base64EncodedAuthorizationSt
Http协议WWW-Authenticate
碧血丹心
03-06 5434
HTTP协议有一个叫WWW-Authenticate的头字段,可以用于实现登录验证。它是在RFC 2617中定义的。 当服务器接收到一个request,并在实现下面的代码: [code="java"] http_response.addHeader('WWW-Authenticate', 'Basic realm...'); http_response.setContentType(Mim...
WWW-authenticate 登录验证
ShirleyJade的专栏
11-30 1万+
public class BasicLoginFilter implements Filter { @Override public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain filterChain) throws IOException, ServletException { HttpServ
SpringBoot使用Ajax实现登录
12-02
在Spring Boot应用中,使用Ajax实现登录功能是一个常见的需求,它可以提供无刷新的用户体验,使得用户界面更加流畅。本文将详细介绍如何在Spring Boot环境中配置和使用Ajax进行登录处理。 首先,我们看到`pom.xml`...
express-passport-local:使用passport.js结合express实现登录验证
05-02
理解Passport.js的工作流程关于Passport.jsPassport.js是Nodejs一个做登录注册的中间件,支持本地验证和第三方...passport.authenticate:登录验证用户登录信息中间件,首先触发定义好的LocalStrategy本地策略,然后
使用springboot结合vue实现sso单点登录
08-25
使用 Spring Boot 结合 Vue 实现 SSO 单点登录 本文主要为大家详细介绍了如何使用 Spring Boot 和 Vue 实现 SSO 单点登录,具有一定的参考价值。下面我们将从技术角度深入探讨该实现的细节。 Spring Boot 的选择 ...
为什么不同域中的浏览器根本不响应mod_auth_kerb发送的“ WWW Authenticate:Negotiate”标头?
04-04
我已经在我们的apache-active目录环境中通过mod_auth_kerb实现了SSO,它可以按预期工作。 但是,以下知识困扰着我:我从两台客户端计算机请求了一个受Kerberos保护的页面,一个用户属于Kerberos设置域,另一个用户属于Kerberos设置域。
django项目登录中使用图片验证码的实现方法
09-18
生成的验证码字符串会存储到用户的session中,供后续的登录验证使用。 ```python import random from PIL import Image, ImageDraw, ImageFont from io import BytesIO def get_random_color(): return (random....
HTTP, WWW-Authenticate, Authorization 验证授权 | Apache验证 | Python处理
weixin_33697898的博客
10-25 966
2019独角兽企业重金招聘Python工程师标准>>> ...
osip www-authenticate认证
H265技术专栏
01-05 686
1、www-authenticate简介 www-authenticate是早期的一种简单的,有效的用户身份认证技术。 它是在RFC2617中定义的。 很多网站验证都采用这种简单的验证方式来完成对客户端请求的数据的合法性进行验证。尤其在嵌入式领域中,此方法使用较多。  缺点:这种认证方式在传输过程中是明码传输的,采用的用户名密码加密方式为BASE-64,其解码过程非常简单,网络上很容易搜索到
[]www-authenticate认证过程浅析
热门推荐
maoliran的博客
07-06 2万+
一、www-authenticate简介www-authenticate是早期的一种简单的,有效的用户身份认证技术。 很多网站验证都采用这种简单的验证方式来完成对客户端请求的数据的合法性进行验证。尤其在嵌入式领域中,此方法使用较多。 缺点:这种认证方式在传输过程中是明码传输的,采用的用户名密码加密方式为BASE-64,其解码过程非常简单,网络上很容易搜索到编解码的源码。采用这种认证方式对于普通用
响应首部:WWW-Authenticate
program is a art
04-26 969
WWW-Authenticate用于HTTP访问认证.它会告知客户端适用于访问请求URI所指定资源的认证方案(Basic或是Digest)和带参数提示的质询(chanllenge).状态码401Unauthorized响应中,肯定带有首部字段WWW-Authenticate WWW-Authenticate: Basic realm="Usagidesign Auth" ...
WWW-Authenticate 头字段和 Authorization 头字段的区别
yu2yu3yu2的专栏
10-19 351
头字段是客户端向服务器发送的摘要认证响应。这两个头字段在 SIP 摘要认证中协同工作,确保通信的安全性和身份验证。头字段是服务器向客户端发出的认证挑战,而。
www-authenticate认证过程浅析
xhch2009的专栏
07-22 996
1、www-authenticate简介        www-authenticate是早期的一种简单的,有效的用户身份认证技术。很多网站验证都采用这种简单的验证方式来完成对客户端请求的数据的合法性进行验证。尤其在嵌入式领域中,此方法使用较多。 缺点:        这种认证方式在传输过程中是明码传输的,采用的用户名密码加密方式为BASE-64,其解码过程非常简单,网络上很
springboot 生成token
04-03
在Spring Boot中生成Token的一种常见方法是使用JSON Web Token(JWT)。JWT是一种轻量级的身份验证和授权协议,可以在网络应用程序中安全地传输信息。以下是在Spring Boot中使用JWT生成Token的步骤: 1. 添加依赖项:在pom.xml文件中添加以下依赖项: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 创建一个JWT工具类:创建一个名为JwtTokenUtil的工具类,用于生成和验证JWT令牌。以下是一个简单的例子: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.beans.factory.annotation.Value; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.stereotype.Component; import java.util.Date; import java.util.HashMap; import java.util.Map; import java.util.function.Function; @Component public class JwtTokenUtil { private static final long serialVersionUID = -2550185165626007488L; public static final long JWT_TOKEN_VALIDITY = 5 * 60 * 60; @Value("${jwt.secret}") private String secret; // retrieve username from jwt token public String getUsernameFromToken(String token) { return getClaimFromToken(token, Claims::getSubject); } // retrieve expiration date from jwt token public Date getExpirationDateFromToken(String token) { return getClaimFromToken(token, Claims::getExpiration); } public <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) { final Claims claims = getAllClaimsFromToken(token); return claimsResolver.apply(claims); } // for retrieving any information from token we will need the secret key private Claims getAllClaimsFromToken(String token) { return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody(); } // check if the token has expired private Boolean isTokenExpired(String token) { final Date expiration = getExpirationDateFromToken(token); return expiration.before(new Date()); } // generate token for user public String generateToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); return doGenerateToken(claims, userDetails.getUsername()); } // while creating the token - // 1. Define claims of the token, like Issuer, Expiration, Subject, and the ID // 2. Sign the JWT using the HS512 algorithm and secret key. // 3. According to JWS Compact Serialization(https://tools.ietf.org/html/draft-ietf-jose-json-web-signature-41#section-3.1) compaction of the JWT to a URL-safe string private String doGenerateToken(Map<String, Object> claims, String subject) { return Jwts.builder().setClaims(claims).setSubject(subject).setIssuedAt(new Date(System.currentTimeMillis())) .setExpiration(new Date(System.currentTimeMillis() + JWT_TOKEN_VALIDITY * 1000)) .signWith(SignatureAlgorithm.HS512, secret).compact(); } // validate token public Boolean validateToken(String token, UserDetails userDetails) { final String username = getUsernameFromToken(token); return (username.equals(userDetails.getUsername()) && !isTokenExpired(token)); } } ``` 3. 创建一个Authentication Controller:创建一个名为AuthenticationController的控制器,用于处理用户身份验证和生成JWT令牌。以下是一个简单的例子: ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.http.ResponseEntity; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.AuthenticationException; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import org.springframework.web.bind.annotation.*; @RestController @RequestMapping("/auth") public class AuthenticationController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtTokenUtil jwtTokenUtil; @Autowired private UserDetailsService userDetailsService; @PostMapping("/login") public ResponseEntity<?> createAuthenticationToken(@RequestBody AuthenticationRequest authenticationRequest) throws Exception { try { authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(authenticationRequest.getUsername(), authenticationRequest.getPassword())); } catch (AuthenticationException e) { throw new Exception("Incorrect username or password", e); } final UserDetails userDetails = userDetailsService.loadUserByUsername(authenticationRequest.getUsername()); final String token = jwtTokenUtil.generateToken(userDetails); return ResponseEntity.ok(new AuthenticationResponse(token)); } } ``` 4. 在application.properties中设置JWT密钥: ```properties jwt.secret=mysecretkey ``` 现在,您可以通过向“/auth/login”端点发出POST请求来生成JWT令牌。请求主体应该是包含用户名和密码的JSON对象。如果成功验证用户凭据,控制器将返回一个包含JWT令牌的JSON对象。您可以将此令牌包含在后续请求的Authorization标头中,以进行身份验证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值