基于HTTP的基本安全认证机制

最新推荐文章于 2022-08-06 12:35:17 发布
最新推荐文章于 2022-08-06 12:35:17 发布
阅读量3.3k 收藏 1
点赞数
分类专栏: HTTP协议 Web安全 文章标签: 安全 服务器 HTTP 加密 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cugxw/article/details/21823305
版权
总结一下常用的两种HTTP安全认证机制。
1.HTTP的基本认证

过程:浏览器发起HTTP请求,如果请求的资源被加密,服务器会返回401响应,浏览器会弹出一个对话框,要求浏览器提交用户名、密码,用户在输入身份验证信息后提交到服务器,服务器验证无误后才返回资源。此过程交互过程如下图所示:


优点:
1)实现简单
2)可以有效防止非恶意用户无意访问
缺点:
1)用户名、密码虽然采用Base64编码,但是恶意用户可以轻松解码。
2)虽然可以采用更安全的加密手段,但是无法避免重放攻击。
3)HTTP报文可能被恶意用户窃取、修改。
4)每次访问用户需要输入用户名、密码,很烦。
5)用户容易被假冒的服务器钓鱼上钩。

实际用用举例:

ActiveMQ的管理后台,可以配置这种基本认证方式,进入后台会弹出一个对话框,输入用户名、密码才能进入管理页面。

cug_xw
关注
专栏目录
security 认证 HTTP基本认证
我是要成为海贼王的男人!
03-17 558
JavaWeb基本认证是通过分组 把用户按照权限分组(role),给每个role分配不同的操作权限 在xml中做如下配置 <?xml version="1.0" encoding="ISO-8859-1"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun...
HTTP协议之基本认证
kobejayandy的专栏
03-17 1108
http协议是无状态的, 浏览器和web服务器之间可以通过cookie来身份识别。 桌面应用程序(比如新浪桌面客户端, skydrive客户端)跟Web服务器之间是如何身份识别呢?   阅读目录 什么是HTTP基本认证HTTP基本认证的过程HTTP基本认证的优点每次都要进行认证HTTP基本认证HTTPS一起使用就很安全HTTP OAuth认证其他认证客户端的使用   什么是HTTP基本
HTTP安全认证
skdzyl1的专栏
07-24 1793
Http安全认证一、基本认证 基本身份验证它提供了一个方法来解决这个问题,虽然不是很安全基本身份验证,客户端的每个请求发送Base64编码凭据,使用HTTP[授权]头。这意味着每个请求独立于其他请求和服务器可能/不维护客户端,这对可扩展性是非常好的。下面示出的是准备标头的样本代码。 String plainClientCredentials=”myusername:mypass
HTTP基本认证
8小时测试
10-15 537
<br />在HTTP 中,基本认证 是一种用来允许Web浏览器 ,或其他客户端程序在请求时提供以用户名 和口令 形式的凭证。<br />在发送之前,用户名追加一个冒号然后串接 上口令。得出的结果字符串 再用Base64 算法编码。例如,用户名是Aladdin ,口令是open sesame ,拼接后的结果是Aladdin:open sesame ,然后再用Base64编码,得到QWxhZGRpbjpvcGVuIHNlc2FtZQ== 。Base64编码的字符串发送出去,并由接收者解
Node.js实践HTTP安全认证之一~~基本认证
阿朱的博科
11-01 2001
众所周知,近来有许多关于http网站更换为https的消息,http作为网站常用的网络协议到底有什么缺陷,http自己有什么样的安全认证体系,难道不能保证信息的完整性和安全性吗?带着这个疑问我最近详细阅读了《http权威指南》这本书,并且实际使用node.js作为服务端,一一实践书上提到的安全认证方法,同时记录下来以飨读者。本文从基础出发,先从最简单的开始。
golang的HTTP基本认证机制实例详解
09-21
在生产环境中,应考虑更安全认证机制,如OAuth2、JWT(JSON Web Tokens)或其他基于令牌的身份验证。 总之,Golang中的HTTP基本认证机制提供了一种快速验证用户身份的方法,但需要注意其安全性问题。在实际开发中...
基于IBC机制的内容中心网络安全认证方案.pdf
09-20
描述中提到的安全认证方案是在CCN环境中,针对内容中心网络发布和检索内容的安全性问题,提出了一种基于IBC机制安全认证机制。内容中心网络是面向内容的网络体系,其特点是以数据内容本身为寻址单位,与传统的以...
基于SQL Server的NT身份认证机制的数据库安全权限设置.pdf
最新发布
01-04
基于SQL Server的NT身份认证机制的数据库安全权限设置 本文详细介绍了SQL Server 7.0的NT身份认证机制安全权限设置,结合摄影测量数字化生产网络数据库系统的应用,讨论了利用NT身份认证机制实现数据库安全权限...
安全防护」视频监控系统中一种基于HTTP摘要 安全认证设计 - 红蓝对抗.zip
11-27
本文将探讨一种在视频监控系统中用于安全防护的方法,即基于HTTP摘要的安全认证设计。这一技术在红蓝对抗的背景下显得尤为重要,因为在这种模拟攻防演练中,它能有效地保护系统免受潜在攻击。 HTTP摘要认证是一种在...
实验:基于PAP认证的公司与分部安全互联.docx
10-28
具体而言,实验将围绕PPP(Point-to-Point Protocol)协议下的PAP认证机制展开,确保数据在网络传输过程中得到有效的身份验证,进而保障网络安全。 **实验目的:** 1. **配置PPP的PAP认证:** 学习如何在PPP协议中...
Http安全基本访问认证
eyesmore's tech life
02-02 169
HTTP安全方面的进化史: Basic Access Authorization; Digest Access Authoriazation; SSL TLS 1、firefox 没携带“用户名+密码”去访问www.jxceo.com        服务器返回: 401    Unauthorized   2、firefox 在包头的可选字段Authorization携带“用户名+密码...
Http基本认证
白羊座的橙子
08-06 442
HTTP摘要认证HTTP基本认证一样,也是在RFC2616中定义的认证模式与 HTTP 基本认证相比,HTTP 摘要认证使用通信双方都可知的口令进行校验,且最终的传输数据并非明文形式HTTP 摘要基本认证意在解决 HTTP 基本认证存在的大部分严 重漏洞,但不应将其认为是Web安全的最终解决方案。在未经验证的请求发起时,服务器会首先返回一个401应答,并携带相关的参数,期待客户端依据这些参数继续做出回应,以完成整个验证过程。
带有安全认证httpClient请求工具
brooks1024的博客
07-09 248
/** * 功能描述:通过http请求获取服务器相关信息 * * @param commonConditionDTO 调用条件 * @return java.lang.String */ public static String httpPost(DCCommonConditionDTO commonConditionDTO) { // 设置用户名和密码 String authorization = commonCon
HTTP协议 (二) 基本认证
weixin_33692284的博客
09-26 806
http协议是无状态的, 浏览器和web服务器之间可以通过cookie来身份识别。 桌面应用程序(比如新浪桌面客户端, skydrive客户端)跟Web服务器之间是如何身份识别呢? 阅读目录 什么是HTTP基本认证 HTTP基本认证的过程 HTTP基本认证的优点 每次都要进行认证 HTTP基本认证HTTPS一起使用就很安全 HTTP OAuth认证 ...
几种常用的Web安全认证方式
热门推荐
一只猿的自我修养
05-26 2万+
1. Http Basic Auth 这是一种最古老的安全认证方式,这种方式就是简单的访问API的时候,带上访问的username和password,由于信息会暴露出去,所以现在也越来越少用了,现在都用更加安全保密的认证方式,可能某些老的平台还在用。 如下图所示,弹出一个框,让你填写用户名密码。这就是Tomcat自带的HTTPBasic认证。 当用户名密码输入错误后,会返回401 Una...
常见的安全漏洞原理以及防御知识——第一章:基础篇---Cookie、状态码、HTTPS、HTTP身份验证(3)
日熙的博客
11-27 663
第一章:基础篇---Cookie、状态码、Web功能1.cookie的介绍、构成2.cookie的属性3.状态码4.https 和 http代理5.Basic等身份认证方法6.要能看懂请求头、响应头(对方服务器的一些信息)Web功能服务器端功能客户端功能状态与会话http常用消息头(补在前面的一篇文章去)请求消息头响应消息头 1.cookie的介绍、构成 (1)Cookie 简介: Cookie是HTTP协议的一个关键组成部分,攻击者常通过它来利用Web应用程序中的漏洞。 Cookie诞生的最初目的是为了存
HTTP认证的几种方式
精通时间管理
06-08 786
Bearer Token(翻译:不记名令牌) 不记名令牌是 OAuth 2.0 中使用的主要访问令牌类型。 Bearer Token 是一个不透明的字符串,对使用它的客户端没有任何意义。 一些服务器会发出由十六进制字符组成的短字符串的令牌,而其他服务器可能会使用结构化的令牌,例如JSON Web Tokens 使用方式 Authorization: Bearer token 使用场景 对于自己的服务签发的 jwtToken 鉴权服务发放的用于获取用户信息的 access_token,refresh_
绿盟检测出“检测到目标URL存在http host头攻击漏洞”如何解决
既是过河之卒,惟有奋力向前。
12-11 4602
绿盟检测出“检测到目标URL存在http host头攻击漏洞”,检测报告中有解决办法(在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_NAME名单,Apache也可以通过指定一个SERVER_NAME名单并开启UseCanonicalName选项。),但不详细,请问具体应该怎么解决   参见 检测到目...
X.509认证协议详解:证书与安全机制
"本文主要介绍了X.509认证协议,它是网络信息安全中重要的身份验证机制,涉及到证书的创建、存储、验证以及证书在不同认证协议中的应用。X.509证书由证书权威机构(CA)生成并签名,确保其不可伪造。此外,文章还...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值