xmpp协议5

内容提示：

    * Use of SASL //简单验证和安全层的应用
         1. Overview //概述
         2. Narrative //详述
         3. SASL //定义
         4. SASL //错误
         5. Client-to-Server Example //客户端到服务器的例子
         6. Server-to-Server Example //服务器到服务器的例子
    * Resource Binding //资源绑定

6.1. 概述

XMPP包含一个用于认证流的方法，该方法依靠一个特定于XMPP的SASL协议的profile。SASL提供了一个通用的方法，用于给基于连接的协议添加认证支持，而XMPP为SASL使用了一个通用的XML命名空间profile，其与SASL的profile的必要条件相一致。

应用以下规则：

   1. 如果SASL协商发生在两个服务器之间，通信不能（MUST NOT）继续，直到服务器所持有的DNS主机名被确定（参见14.4.节： 服务器到服务器通信）。
   2. 如果初始实体能够进行SASL协商，它必须（MUST）在初始流header中包含一个值至少设置为“1.0”的‘version’属性。
   3. 如果接收实体能够进行SASL协商，在回应从初始实体发来的开的流标识的流中，它必须（MUST）在一个<mechanisms/>元素中注册一个或多个认证机制，该<mechanisms/>元素在‘urn:ietf:params:xml:ns:xmpp-sasl’命名空间下。
   4. 在SASL协商期间，实体不能（MUST NOT）在流的根元素间发送任何空字符（matching production [3] content of XML）来作为元素的间隔（在后面的TLS例子中出现的任何空字符只是为了可读性）；这个禁令有助于确保彻底的安全层的字节精确度。
   5. 在SASL协商期间使用的XML元素中所包含的任何XML字符数据必须（MUST）使用base64进行编码，其中的编码技术在RFC 3548[BASE64]第3部分的定义中。
   6. 如果被选的SASL机制支持“simple username”这样的（例如，DIGEST-MD5和CRAM-MD5机制支持，而EXTERNAL和GSSAPI机制不支持），在认证期间，初始实体应该（SHOULD）提供在S/S通信的情况中作为发送域（IP地址或包含于域标识符中的完全限定的域名）的简单用户名，或者在C/S通信的情况中它所注册的帐户名（一个XMPP节点标识符中包含的用户名或节点名）。
   7. 如果初始实体希望代表另一个实体起作用，且所选择的SASL机制能够支持对一个授权实体的的转播，初始实体必须（MUST）在SASL协商期间提供一个授权实体。如果初始实体没想要代表其他实体起作用，它禁止（MUST NOT）提供一个授权实体。正如SASL中定义的，初始实体禁止（MUST NOT）体噢能够一个授权实体，除非此授权实体与由授权实体衍生而来的默认实体不同（在SASL中有描述）。如果提供了，授权实体的值必须（MUST）在服务器那为<domain>（即只有一个域标识符）的形式，在客户端那为<node@domain>（即节点标识符和域标识符）。
   8. 在包含了一个安全层协商的SASL协商的成功后，接收实体必须（MUST）丢弃任何从初始实体获得的，而并非SASL协商本身所获得的信息。
   9. 在包含了一个安全层协商的SASL协商的成功后，初始实体必须（MUST）丢弃任何从接收实体获得的，而并非SASL协商本身所获得的信息。
  10. 参见14.7节（执行托管技术）中有关必须提供的一些（MUST）机制。


6.2. 详述
当一个初始实体与一个接收实体使用SASL进行认证，相关的步骤如下：

   1. 初始实体通过在发送到接收实体的开的XML流header中包含一个值为“1.0”的‘version’属性来请求SASL认证。
   2. 在发送了一个回应的XML流header后，接收实体注册了一列可用的SASL认证机制；每个都是一个被<mechanisms/>容器元素作为子元素包含的<mechanism/>元素，这个容器元素命名空间为‘urn:ietf:params:xml:ns:xmpp- sasl’，在流命名空间里的次序上是一个<features/>元素的子元素。如果在可能使用某个特定的认证机制前，需要配置好TLS的使用，接收实体禁止（MUST NOT）在TLS制定前，规定可用的SASL认证机制列表中的那些机制。如果初始实体在优先制定TLS协商期间给出了一个有效的证书，接收实体应该（SHOULD）在SASL协商期间，提供SASL EXTERNAL机制给初始实体（参考SASL），即使EXTERNAL机制也可能（MAY）在其他情况下被给出。
   3. 初始实体通过发送一个在‘urn:ietf:params:xml:ns:xmpp-sasl’ 命名空间下的<auth/>元素给接收实体以及包含一个一个适当的‘mechanism’属性值来选择一个机制。如果机制支持或需要，这个元素可以包含XML字符数据（在SASL术语中叫‘initial response’）；如果初始实体需要发送一个0长度的初始响应，它必须（MUST）把响应作为一个相等符“=”传输，这样可以表明响应出席了，但是没有带数据。
   4. 如果必需的话，接收实体通过发送一个‘urn:ietf:params:xml:ns:xmpp-sasl’命名空间下的 <challenge/>元素给初始实体来召唤（challenge）初始实体；这个元素可以（MAY）包含字符数据（必须（MUST）确定与初始实体选择的SASL机制的定义相一致）。
   5. 初始实体通过发送一个在‘urn:ietf:params:xml:ns:xmpp-sasl’命名空间下的< response/>元素给接收实体来回应这个召唤；这个元素可以（MAY）包含字符数据（必须（MUST）确定与初始实体选择的SASL机制的定义相一致）。
   6. 如果必需的话，接收实体发送更多的召唤，而初始实体则发送更多的回应。

这个召唤/回应对的系列一直持续到下面事件之一发生：

   1. 初始实体通过发送一个在‘urn:ietf:params:xml:ns:xmpp-sasl’命名空间下的< abort/>元素给接收实体来中断这个握手（handshake）。在接收到一个<abort/>元素后，接收实体应该（SHOULD）允许一个可配置且合理的重试次数（至少为2），之后它必须（MUST）终止TCP连接；这样使初始实体能够不用被迫去重新连接，而容忍被错误提供的凭证（例如，一个输错的密码）。
   2. 接收实体通过发送一个在‘urn:ietf:params:xml:ns:xmpp-sasl’命名空间下的< failure/>元素给初始实体来报告握手失败（特定的失败原因应该（SHOULD）在<failure/>元素的一个适当的子节点中传达，定义在SASL Errors中）。如果错误的情况发生，接收实体应该（SHOULD）允许一个可配置且合理的重试次数（至少为2），之后它必须（MUST）终止TCP连接；这样使初始实体（如，一个目标用户客户端）能够不用被迫去重新连接，而容忍被错误提供的凭证（例如，一个输错的密码）。
   3. 接收实体通过发送一个在‘urn:ietf:params:xml:ns:xmpp-sasl’命名空间下的< success/>元素给初始实体来报告握手成功；如果被选择的SASL机制需要，这个元素可以（MAY）包含XML字符数据（在SASL术语中，叫作“additional data with success”）。在接收到<success/>元素后，初始实体必须（MUST）初始化一个新流，通过发送一个开的XML流header 给接收实体（没必要先发送一个闭的</stream>标识，因为接收实体与发送实体必须（MUST）考虑初始流在发送或接收了< success/>元素后再关闭）。在接收到了来自初始实体的新的流header，接收实体必须（MUST）通过发送一个新的XML流header 给初始实体来响应，连同任何可用的特性（不包括STARTLLS和SASL特性）或一个空的<features/>元素（指明没有附加的特性可用）；任何这里没有定义的附加特性，必须（MUST）由XMPP相关的扩展定义。

转载于:https://www.cnblogs.com/worksguo/articles/1030342.html