【转】HTTP认证机制

最新推荐文章于 2023-02-20 15:49:39 发布
最新推荐文章于 2023-02-20 15:49:39 发布
阅读量565 收藏
点赞数 1
分类专栏: java

https://yq.aliyun.com/articles/259081

https://blog.csdn.net/bytxl/article/details/50379592

HTTP请求报头: Authorization

HTTP响应报头: WWW-Authenticate

 

HTTP认证  

基于

   质询  /回应(  

challenge/response)的认证模式。

 

◆ 基本认证 basic authentication   ← HTTP1.0提出的认证方法

    客户端对于每一个realm,通过提供用户名和密码来进行认证的方式。

    ※ 包含密码的明文传递

 

    基本认证步骤:

     1. 客户端访问一个受http基本认证保护的资源。

     2. 服务器返回401状态,要求客户端提供用户名和密码进行认证。

           401 Unauthorized

           WWW-Authenticate: Basic realm="WallyWorld"

     3. 客户端将输入的用户名密码用Base64进行编码后,采用非加密的明文方式传送给服务器。

           Authorization: Basic xxxxxxxxxx.

     4. 如果认证成功,则返回相应的资源。如果认证失败,则仍返回401状态,要求重新进行认证。

 

    特记事项

     1. Http是无状态的,同一个客户端对同一个realm内资源的每一个访问会被要求进行认证。

     2. 客户端通常会缓存用户名和密码,并和authentication realm一起保存,所以,一般不需要你重新输入用户名和密码。

     3. 以非加密的明文方式传输,虽然转换成了不易被人直接识别的字符串,但是无法防止用户名密码被恶意盗用。

 

◆ 摘要认证 digest authentication   ← HTTP1.1提出的基本认证的替代方法

    服务器端以nonce进行质询,客户端以用户名,密码,nonce,HTTP方法,请求的URI等信息为基础产生的response信息进行认证的方式。

    ※ 不包含密码的明文传递

    

    摘要认证步骤:

     1. 客户端访问一个受http摘要认证保护的资源。

     2. 服务器返回401状态以及nonce等信息,要求客户端进行认证。

HTTP/1.1 401 Unauthorized

WWW-Authenticate:Digest

realm="testrealm@host.com",

qop="auth,auth-int",

nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",

opaque="5ccc069c403ebaf9f0171e9517f40e41"

     3. 客户端将以用户名,密码,nonce值,HTTP方法, 和被请求的URI为校验值基础而加密(默认为MD5算法)的摘要信息返回给服务器。

           认证必须的五个情报:

     ・ realm : 响应中包含信息

     ・ nonce : 响应中包含信息

     ・ username : 用户名

     ・ digest-uri : 请求的URI

     ・ response : 以上面四个信息加上密码信息,使用MD5算法得出的字符串。

 

Authorization:Digest 

username="Mufasa", ← 客户端已知信息

realm="testrealm@host.com",   ← 服务器端质询响应信息

nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",  ← 服务器端质询响应信息

uri="/dir/index.html", ← 客户端已知信息

qop=auth,   ← 服务器端质询响应信息

nc=00000001, ← 客户端计算出的信息

cnonce="0a4f113b", ← 客户端计算出的客户端nonce

response="6629fae49393a05397450978507c4ef1", ← 最终的摘要信息 ha3

opaque="5ccc069c403ebaf9f0171e9517f40e41"  ← 服务器端质询响应信息

     4. 如果认证成功,则返回相应的资源。如果认证失败,则仍返回401状态,要求重新进行认证。

 

    特记事项:

     1. 避免将密码作为明文在网络上传递,相对提高了HTTP认证的安全性。

     2. 当用户为某个realm首次设置密码时,服务器保存的是以用户名,realm,密码为基础计算出的哈希值(ha1),而非密码本身。

     3. 如果qop=auth-int,在计算ha2时,除了包括HTTP方法,URI路径外,还包括请求实体主体,从而防止PUT和POST请求表示被人篡改。

     4. 但是因为nonce本身可以被用来进行摘要认证,所以也无法确保认证后传递过来的数据的安全性。

 

   ※ nonce:随机字符串,每次返回401响应的时候都会返回一个不同的nonce。 

   ※ nounce:随机字符串,每个请求都得到一个不同的nounce。 

      ※ MD5(Message Digest algorithm 5,信息摘要算法)

         ① 用户名:realm:密码 ⇒ ha1

         ② HTTP方法:URI ⇒ ha2

         ③ ha1:nonce:nc:cnonce:qop:ha2 ⇒ ha3

 

◆ WSSE(WS-Security)认证  ← 扩展HTTP认证

   WSSE UsernameToken

    服务器端以nonce进行质询,客户端以用户名,密码,nonce,HTTP方法,请求的URI等信息为基础产生的response信息进行认证的方式。

    ※ 不包含密码的明文传递

    

    WSSE认证步骤:

     1. 客户端访问一个受WSSE认证保护的资源。

     2. 服务器返回401状态,要求客户端进行认证。

HTTP/1.1 401 Unauthorized

WWW-Authenticate:WSSE

realm="testrealm@host.com",

profile="UsernameToken" ← 服务器期望你用UsernameToken规则生成回应

※ UsernameToken规则:客户端生成一个nonce,然后根据该nonce,密码和当前日时来算出哈希值。

     3. 客户端将生成一个nonce值,并以该nonce值,密码,当前日时为基础,算出哈希值返回给服务器。

Authorization:WSSE profile="UsernameToken"

X-WSSE:UsernameToken

username="Mufasa",

PasswordDigest="Z2Y......",

Nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",

Created="2010-01-01T09:00:00Z"

     4. 如果认证成功,则返回相应的资源。如果认证失败,则仍返回401状态,要求重新进行认证。

 

 

http://blog.csdn.net/b_dogs881221/article/details/7753847

似水若冰初见
关注
专栏目录
httpie-wsse-auth:WSSE身份验证对HTTPie CLI HTTP客户端的支持
05-10
httpie-wsse-auth 此 auth插件为Emarsys API请求实现Escher身份验证。 安装 确保已安装“ HTTPie < >`_”,然后安装此插件: $ pip install httpie-wsse-auth 安装后,如果运行$ http --help则会在--auth-type下看到选项wsse-auth 。 例子 $ http --auth-type=wsse-auth --auth= ' access_id:secret_key ' https://api.emarsys.net/api/v2/settings 如果您想在请求之间保存身份验证信息,请出。
HTTP认证方式
hotnet522的专栏
08-19 3万+
HTTP请求报头: Authorization HTTP响应报头: WWW-Authenticate HTTP认证基于质询/回应(challenge/response)的认证模式。 ◆ 基本认证 basic authentication   ← HTTP1.0提出的认证方法 客户端对于每一个realm,通过提供用户名和密码来进行认证的方式。 ※ 包含密码的明文传递 基本认证步骤: 1. 客户端访问一个受http基本认证保护的资源。
http basic认证
码农小麦
07-01 1761
basic基本认证是从HTTP/1.0定义的认证方式,就是在http请求头部添加Authorization字段,传值: Basic + base64编码的(用户名:密码)。
详解HTTP中的摘要认证机制
tenfyguo的技术专栏
03-11 3万+
在上一期http://blog.csdn.net/tenfyguo/article/details/6167190中笔者较为详细的介绍了HTTPBasic认证在apache下的配置,通过简单的实验演示了HTTP Basic认证的基本原理。        但是,聪明的读者很快可以发现,这种认证方式是存在很多缺陷的,具体表现如下: 1,  Basic认证会通过网络发送用户名和密码,并且是以base
关于WSSE验证-- 一种验证用户的方法
企业级互联网应用
07-28 1226
大家通常验证用户做法: 1. BASIC验证模式: 把用户名和密码采用Base64编码之后,放在HTTP HEADER里,发到服务器的。 2. FORM验证模式: 就什么都不处理,直接发到服务器。 3. 还有其他证书验证,摘要验证等,这些不在这篇文章讨论范围。 由于是明文传输,密码很容易被截获,从而造成密码的丢失。今天和老大讨论RESTful的模式时,想到了认证的问题,因为REST提倡...
Linux的PAM安全认证机制.pdf
09-06
Linux PAM 安全认证机制 Linux 操作系统中,安全认证机制是非常重要的,PAM(Pluggable Authentication Modules,插件认证模块)是Linux中的一种安全认证机制。PAM的主要作用是提供一个统一的认证接口,让不同的...
基于口令的身份认证机制的设计与实现
05-06
本文主要探讨了“基于口令的身份认证机制”的设计与实现,该机制涉及到口令管理、撒盐算法、分组密码算法和位串变换算法等多个关键环节。 首先,口令管理是身份认证的基础。一个良好的口令策略应包括设置复杂度要求...
基于区块链的智能工厂RFID系统轻量级身份认证机制.pdf
08-15
针对这些问题,本文提出了一种基于区块链技术的智能工厂RFID系统轻量级安全认证机制。 射频识别技术(RFID)作为物联网的核心技术之一,在智能工厂中扮演了重要角色。RFID技术利用无线电信号识别目标对象并获取相关...
RFC2617标准的Http认证(C和CPP两个工程)
05-09
标题中的"RFC2617标准的Http认证"是指互联网工程任务组(IETF)发布的Request for Comments (RFC) 2617文档,该文档详细定义了HTTP基本认证和更安全的HTTP摘要认证HTTP Digest Authentication)机制HTTP摘要认证是...
eID基础知识及其应用
leo68的博客
10-24 7465
由于工作需要,对eID进行了简单研究,现在总结应用eID的应用关键点如下: (1)软件应用:根据流程申请接入。 (2)硬件应用:使用符合标准的安全芯片。 (3)前台匿名,后台实名。eID不含任何个人身份信息,且不可逆推出个人身份信息。 (4)用户在不同的线上应用上所使用的网络身份应用标识编码不同,可离线验证身份。 一、eID介绍 eID是以密码技术为基础、以智能安全芯片为载体、由“公安部公民网络身...
Http1.1协议常识3.1
最新发布
gulanga5的博客
02-20 697
http1.1协议常识
HttpClient异常:ProtocolViolationException
生面别开
01-10 3193
使用HttpClient进行Get请求的时候,发生了这个异常:ProtocolViolationException,无法发生具有此谓词类型的内容正文。 代码如下: var reqMsg = new HttpRequestMessage { Method = httpItem.Method,
基于timestamp和nonce的防止重放攻击方案
热门推荐
koastal的博客
12-04 4万+
以前总是通过timestamp来防止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。 首先要明确一个事情,重...
关于 RESTFUL API 安全认证方式的一些总结
weixin_34217773的博客
11-14 1030
常用认证方式 在之前的文章REST API 安全设计指南与使用 AngularJS &amp; NodeJS 实现基于 token 的认证应用两篇文章中,[译]web权限验证方法说明中也详细介绍,一般基于REST API 安全设计常用方式有: HTTP Basic Basic admin:admin Basic YWRtaW46YWRtaW4= Aut...
基于C#的http协议开发
waxgourd0的专栏
07-21 3万+
HTTP协议简介   HTTP协议简介 在TCP/IP体系结构中,HTTP属于应用层协议,位于TCP/IP协议的顶层。浏览Web时,浏览器通过HTTP协议与Web服务器交换信息。这些信息(文档)类型的格式由MIME定义。 HTTP协议具有以下的特点: HTTP按客户/服务器模式工作 HTTP支持客户(一般情况是浏览器)与服务器的通讯,相互传输数据。 HTTP定义的事务
详解HTTP摘要认证
静水流深
08-31 1774
典型的认证过程 客户端请求一个需要认证的页面,但是不提供[用户名]和[密码]。通常这是由于用户简单的输入了一个地址或者在页面中点击了某个[超链接]。 服务器返回[401] “Unauthorized” 响应代码,并提供认证域(realm),以及一个随机生成的、只使用一次的数值,称为[密码随机数 nonce]。 此时,浏览器会向用户提示认证域(realm)(通常是所访问的计算机或系统的...
spring security 5 (9)-httpBasic基本认证
JAVA博客
04-07 1万+
httpBasic是由http协议定义的最基础的认证方式。每次请求时,在请求头Authorization参数中附带用户/密码的base64编码,参考base64。这个方式并不安全,不适合在web项目中使用。但它是一些现代主流认证的基础,而且在spring security的oauth中,内部认证默认就是用的httpBasic。 httpBasic基本配置 注意,这里没有配formLogin,也...
MongoDB 3.0 集群认证机制升级到SCRAM-SHA-1
本文主要介绍了如何更改MongoDB集群的认证机制,特别关注了从旧的认证方式换到SCRAM-SHA-1的过程。 MongoDB是一个流行的NoSQL数据库系统,其安全性和认证机制对于保护数据至关重要。在MongoDB 3.0版本及以后,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值