Basic and Digest Access Authentication (rfc2617) 及HttpClient实现

最新推荐文章于 2023-06-13 09:21:34 发布
最新推荐文章于 2023-06-13 09:21:34 发布
阅读量944 收藏 3
点赞数
分类专栏: HTTP 文章标签: 密码 安全 basic

介绍Basic和Digest

http协议并没有定义相关的安全认证方面的标准,所以就有了Basic and Digest Access Authentication的定义来补充,它的目的就是补充一套基于http服务端的认证机制,保护相关的资源避免被非法用户访问,如果你要访问被保护的资源,则必需要提供合法的用户名和密码。

和https有什么关联?

basic & digest auth 和 https 没有任何关系。前者是为用户认证机制,后者是信息通道加密措施。

basic 和 digest有什么区别?

digest是basic的升级版,更加安全。因为basic是明文传输密码信息,而digest是加密后传输。

digest就是绝对安全的吗?

首先,这个世界上没有绝对的东西。digest默认用MD5(其它算法也可以)对密码进行加密,虽然相比basic认证的明文传输更安全,但是加密算法本身的安全性也值得怀疑(md5是可以反推出原文的)。再者,digest只是对认证信息的加密,后续的内容传输安全性得不到保障。所以https机制的作用就显现出来。

通过上面的相关信息,我们可以得到一个清晰的结论:如果你想加强自己的认证信息的保护,有两种选择,一是基于digest认证;别一种是在https通道上进行basic认证。

basic和digest认证流程

 

1,客户端请求受保护的资源
2,服务器检测到没有授权,则生成一个challenge返回给客户端
3,客户端根据challenge和相关信息计算出digest
4,附带3计算出的信息再次请求1中的资源
5,服务端根据已知的用户密码信息计算出digest并与4中请求的digest比较验证
6,服务端验证通过后返回资源给合法用户

Basic和Digest的认证都是按照上面的流程来,唯一不同的是3和5中计算digest的算法不同:Basic是将密码直接base64编码(明文),而Digest是用MD5进行加密后传输。

下面假设我们现在要请求:http://localhost:8080/index.html 这个路径,而它需要认证后才能访问。


Basic的流程如下:

  1. 在浏览器请求:http://localhost:8080/index.html
  2. 服务器返回401(unauthentication)代码,并附带一个包含challenge的头,格式如下:WWW-Authenticate    Basic realm="Admin All"
  3. 浏览器用:base64(username:password) 编码后的信息添加到请求头中再次请求1中的资源,如果用户名是tomcat,密码是tomcat,则base64(tomcat:tomcat)为(dG9tY2F0OnRvbWNhdA==)。所以头信息为:Authorization    Basic dG9tY2F0OnRvbWNhdA==
  4. 用3中计算的请求头信息再次请求1中的资源
  5. 服务器用3中相同的算法(base64)验证用户密码合法性
  6. 返回index.html的资源

Digest的流程和上面一样,只是challenge和digest的生成算法不同

  1. 在浏览器请求:http://localhost:8080/index.html
  2. 服务器返回401(unauthentication)代码,并附带一个包含challenge的头,格式如下:WWW-Authenticate    Digest realm="Admin All", qop="auth", nonce="1354760194666:4465c7b1921b6d769fd359e5152c453f", opaque="EE9C283E89AFB63E7FF6E2C04C524807"
  3. 浏 览器用MD5编码后的信息添加到请求头中再次请求1中的资源,如果用户名是tomcat,密码是tomcat,则生成的头信息:Authorization    Digest username="tomcat", realm="Admin All", nonce="1354760194666:4465c7b1921b6d769fd359e5152c453f", uri="/web/index.html", response="8d30e6438636fe21c6045246dd034372", opaque="EE9C283E89AFB63E7FF6E2C04C524807", qop=auth, nc=00000001, cnonce="9201a828891792b9"
  4. 用3中计算的请求头信息再次请求1中的资源
  5. 服务器用3中相同的算法(base64)验证用户密码合法性
  6. 返回index.html的资源

这里我们只是讨论流程,具体的challenge和digest的生成算法请参考:RFC2617

HttpClient的实现

示例代码:

HttpHost targetHost = new HttpHost("localhost", 8080);
        
        DefaultHttpClient client = new DefaultHttpClient();
        
        HttpContext context = new BasicHttpContext();
        context.setAttribute(ClientContext.CREDS_PROVIDER, new BasicCredentialsProvider());
        CredentialsProvider provider = (CredentialsProvider)context.getAttribute(ClientContext.CREDS_PROVIDER);
        provider.setCredentials(
                new AuthScope(targetHost.getHostName(), targetHost.getPort()),
                new UsernamePasswordCredentials("tomcat", "admin"));
                
        HttpGet get = new HttpGet("http://localhost:8080/web/Hello");
     HttpResponse response = client.execute(get,context);
        System.out.println(response.getStatusLine());
        HttpEntity entity = response.getEntity();
        String s = EntityUtils.toString(entity);
        System.out.println(s);

 主要类结构图:

Auth流程图:

 

 

Dev_Hanyu
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RFC 2617中文版(HTTP Digest Authentication
08-19
RFC2617描述了HTTP Digest Authentication,这个是中文版,根据原英文版进行了校正,并重新排版。
RFC2617- HTTP Authentication自译本-(3)
chifire的专栏
02-16 2318
  auth-param           该指示用于未来扩展。任何无法识别的指示都必须被忽略。 3.2.2 授权请求标题(The Authorization Request Header)        客户端想重试发送请求,并传递对应前面所框架定义的授权标题行,如下: credentials         = "Digest" digest-respon
HTTP Digest authentication .
harvey.loo的专栏
10-02 565
(Digest authentication)是一个简单的认证机制,最初是为HTTP协议开发的,因而也常叫做HTTP摘要,在RFC2671中描述。其身份验证机制很简单,它采用杂凑式(hash)加密方法,以避免用明文传输用户的口令。 摘要认证就是要核实,参与通信的双方,都知道双方共享的一个秘密(即口令)。   当服务器想要查证用户的身份,它产生一个摘要盘问(digest challenge),
rfc2617 PHP,HTTP认证的底层技术简析与揭秘
weixin_34079825的博客
04-02 808
写在前面的话HTTP认证实现的基础是Web服务器与浏览器之间能够安全地交换类似用户名和密码这样的用户凭证,我们也可以把HTTP认证当作是摘要验证(Digest Authentication),这种预定义方法/标准在HTTP协议中使用了编码技术和MD5加密哈希。在这篇文章中,我们将会跟大家详细讨论一下HTTP认证所采用的技术和标准。为了方便大家的理解,本文将使用我们自己编写的一个php脚本,它可以方...
C# 摘要认证(digest authentication) IETF RFC 2617
sunchanglong的专栏
02-08 1856
背景 : 最近在对接一个公安局数据接口相关的这块业务,基于HTTP RESTFUL的接口API,请求时需要做用户认证。厂家只给提供了JAVA的demo。由于业务比较分散需要用C#来进行业务交互。 解决过程 首先肯定是各大地方爬文,主要有参考这几篇文章:也感谢各位的分享,给我解决问题上提供了莫大的帮助。 https://www.cnblogs.com/lanxiaoke/p/6357501.html https://blog.csdn.net/t1269747417/article/details.
通过PB代码实现访问Digest authentication认证
06-07
针对PB 开发者,并需要访问Digest Authentication认证。 该案例是通过PB 2019 R3 Build 2170版本来开发的。需要使用到PB 2017 版本后的新功能httpclient对象及加密对象。
http-client-digest_auth:针对Crystal的RFC 2617摘要访问身份验证的实现
02-04
http-client-digest_auth:针对Crystal的RFC 2617摘要访问身份验证的实现
RFC2617中文版
10-13
RFC2617中文版 http digest auth
HTTP digest RFC2671规范 加密实现(JAVA)
04-24
NULL 博文链接:https://fengjianrong.iteye.com/blog/2379764
RFC2617标准的Http认证(C和CPP两个工程)
05-09
内含两个工程,一个用C实现,另外一个是将C的工程转成C++实现;主要功能是RFC2617标准的MD5生成,以及HTTP Digest的鉴权功能,适用于SIP鉴权,RT069标准的HTTP认证。
http协议之digest(摘要)认证
热门推荐
jszj的专栏
05-13 4万+
参考网址: http://www.faqs.org/rfcs/rfc2617.html http://www.faqs.org/rfcs/rfc1321.html http://www.cnblogs.com/my_life/articles/2285649.html http://blog.sina.com.cn/s/blog_53b15ed5010006t9.html http://
HTTP Digest 认证头是干什么的?底层原理是什么?
最新发布
长风破浪会有时的博客
06-13 409
需要注意的是,虽然 Digest 认证提供了一定程度的安全性,但它并不是绝对安全的,因为摘要算法本身可能受到攻击。因此,对于敏感数据的保护,更安全的认证机制,如使用 HTTPS 进行加密通信,或使用更强大的认证方案(如 OAuth)可能更合适。客户端发送一个 HTTP 请求到服务器,并在请求头中包含一个 Authorization 头,值为 "Digest" 加上一系列包含身份验证参数的键值对。服务器根据传入的参数和存储在服务器上的凭据,使用摘要算法(通常是 MD5 或 SHA-1)计算一个期望的摘要。
Java 基于 IETF RFC 2617 身份认证
myinsert的博客
03-17 1738
领域:realm 用户名:username 密码:password 请求地址(请求地址中,ip端口之后的部分):digestURI HTTP请求:method 当前计数:nonceCount 客户端计数:clientNonce 保护质量:qop 服务器计数(第一次访问返回401的请求头中携带):nonce a)HA1=MD5(A1)=MD5(username:realm:password) b)HA2=MD5(A2)=MD5(method:digestURI) c)response=MD5(HA1:non
GAT1400协议 注册流程
m0_58676641的博客
04-21 2292
如果严格,则需要包含时间信息、客户端IP信息和其它信息,因为认证过程的时间很短,所以如果服务器收到认证信息后发现这个时间和服务器的时间相去甚远,那说明不正常,直接拒绝,以防止攻击,还有客户端IP,如果这个IP一直这样攻击,则可以在一定时间内发现是该IP的连接则直接断掉。服务器在收到所有这些信息后,也通过相同的方式计算出这个值,而密码则是保存在服务器端,即服务器要通过用户名去找到对应的密码,然后和计算出md5值,再和客户端传过来的response值对比,如果一样,则认证通过,否则通不过。
GAT1400的注册流程RFC2617认证
linweidong的专栏
03-07 2432
Authorization 请求头字段 response:客户端根据算法算出的摘要值 username:要认证的用户名 realm:认证域,可取任意标识值 uri:请求的资源位置 qop:保护质量 nonce:服务器密码随机数 nc:16进制请求认证计数器,第一次 00000001 algorithm:默认MD5算法 cnonce:客户端密码随机数 Request-Digest 摘要计算过程 import org.apache.commons....
RFC2617- HTTP Authentication自译本-(2) (转)
circularr9834的博客
08-13 152
RFC2617- HTTP Authentication自译本-(2) (转)[@more@] 1 授权鉴别(Access Authentication) XML:namespace prefix = o ns = "...
RFC2617-HTTP Authentication: Basic and Digest Access Authentication
a19576的专栏
09-27 1660
http://www.ietf.org/rfc/rfc2617.txt
基于RFC2617的身份认证
郭大神的博客
09-19 7779
设备及网络用户接入事件及图片存储服务器(公安行业称视频图像信息数据库)时均须经过用户认证。       第一次访问事件及图片存储服务器资源时,需先执行注册操作,事件及图片存储服务器会提示需进行用户名和密码的校验;接口中传递userName、password 、md5,事件及图片存储服务器采用基于口令的数字摘要认证方式(RFC2617)进行设备及用户认证,认证通过后即可访问事件及图片...
httpclient实现digest认证
05-13
HttpClient可以通过提供的CredentialsProvider接口来实现digest认证。下面是一个示例代码: ```java import org.apache.http.HttpEntity; import org.apache.http.HttpHost; import org.apache.http.auth.AuthScope; import org.apache.http.auth.UsernamePasswordCredentials; import org.apache.http.client.CredentialsProvider; import org.apache.http.client.methods.CloseableHttpResponse; import org.apache.http.client.methods.HttpGet; import org.apache.http.client.protocol.HttpClientContext; import org.apache.http.impl.auth.DigestScheme; import org.apache.http.impl.client.BasicCredentialsProvider; import org.apache.http.impl.client.CloseableHttpClient; import org.apache.http.impl.client.HttpClients; import org.apache.http.util.EntityUtils; import java.io.IOException; public class DigestAuthExample { public static void main(String[] args) throws IOException { String username = "user"; String password = "password"; HttpHost target = new HttpHost("localhost", 8080, "http"); CredentialsProvider credsProvider = new BasicCredentialsProvider(); credsProvider.setCredentials( new AuthScope(target.getHostName(), target.getPort()), new UsernamePasswordCredentials(username, password)); CloseableHttpClient httpClient = HttpClients.custom() .setDefaultCredentialsProvider(credsProvider) .build(); HttpClientContext context = HttpClientContext.create(); HttpGet httpGet = new HttpGet("/"); CloseableHttpResponse response = httpClient.execute(target, httpGet, context); try { HttpEntity entity = response.getEntity(); EntityUtils.consume(entity); } finally { response.close(); } // Get the digest scheme from the context DigestScheme digestScheme = (DigestScheme) context.getAuthScheme(target); // Use the digest scheme to generate the next request's headers HttpGet httpGet2 = new HttpGet("/"); httpGet2.addHeader(digestScheme.authenticate( new UsernamePasswordCredentials(username, password), httpGet2, context)); CloseableHttpResponse response2 = httpClient.execute(target, httpGet2, context); try { HttpEntity entity = response2.getEntity(); EntityUtils.consume(entity); } finally { response2.close(); } } } ``` 这个示例代码中,使用了BasicCredentialsProvider来提供用户名和密码。当httpClient执行第一次请求时,服务器返回401 Unauthorized响应,httpClient会尝试使用提供的凭据进行认证。然后,httpClient会使用DigestScheme生成下一个请求的摘要认证头。在第二次请求中,httpClient使用这个头来进行认证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值