HTTP摘要认证方式分析与验证

最新推荐文章于 2022-10-12 10:14:42 发布
最新推荐文章于 2022-10-12 10:14:42 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: HTTP协议 文章标签: HTTP python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haoyifen/article/details/48901387
版权

使用tomcat自己创建了一个网页.

http://218.197.239.47:8080/First/MyHtml.html

进行了权限设置,使用摘要验证,用户名(root)和密码(admin),输入提示"Test DIGEST"


成功验证后,我们查看响应头和请求头信息如下所示:


其中最重要的信息为请求头中的Authentication首部:

  1. Authorization:

    Digest username="root", realm="Test DIGEST", nonce="1443966203108:5d733caba729a7b717e7d767e5f604e4", uri="/First/MyHtml.html", response="8ff4332d9e2790dcd24834d108da113c", opaque="B7BCDF23435CD63EEA088EAAA88C5857", qop=auth, nc=00000003, cnonce="9fb299a63a5883af"

根据摘要认证算,

使用python进行验证:

 
 
  1. import md5
  2. 

  3. username="root" 
  4. realm="Test DIGEST" //加密提示
  5. nonce="1443966203108:5d733caba729a7b717e7d767e5f604e4"  //服务端发送给客户端的随机数
  6. uri="/First/MyHtml.html"  //请求URI
  7. response="8ff4332d9e2790dcd24834d108da113c" //客户端计算得到的hash值
  8. opaque="B7BCDF23435CD63EEA088EAAA88C5857"
  9. qop="auth"   //增强保护质量
  10. nc="00000003" //表示客户端已经发送的包含nonce值的次数,如果nc值相同,就表示请求是重放的
  11. cnonce="9fb299a63a5883af" //客户端提供的不透明引用字符串值
  13. A1=username+":"+realm+":"+"admin"   //涉及安全信息的数据部分
  14. print "A1=",A1
  15. A1_to_md5=md5.new(A1).hexdigest()
  16. print "A1_to_md5=",A1_to_md5
  18. A2="GET"+":"+uri   //与请求相关的数据部分,这是qop为auth时的A2
  19. print "A2=",A2
  21. A2_to_md5=md5.new(A2).hexdigest()
  22. print "A2_to_md5=",A2_to_md5
  24. total=A1_to_md5+":"+nonce+":"+nc+":"+cnonce+":"+qop+":"+A2_to_md5 
  25. response_calc=md5.new(total).hexdigest()   //根据算法计算的到的hash值
  26. print "response_calc=",response_calc
  27. print "response_calc==response",response_calc==response


运行结果如图所示:



最后我们根据算法流程计算的结果response_calc和浏览器实际得到的结果对比发现,两者是相等的。

可以验证,加密流程就是如算法所描述的一样。



mydearplease
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP摘要认证的C语言实现
北京老向 blog
06-29 1811
 SIP的用户注册和RTSP的DESCRIBE之后要用摘要认证(digestauthentication)。 digest的算法:A1 =username:realm:password A2 = mthod:uriHA1= MD5(A1) 如果 qop 值为“auth”或未指定,那么 HA2 为 HA2 =MD5(A2)=MD5(method:uri) 如果 qop 值为“auth-int”,那么...
详解HTTP中的摘要认证机制
tenfyguo的技术专栏
03-11 3万+
在上一期http://blog.csdn.net/tenfyguo/article/details/6167190中笔者较为详细的介绍了HTTPBasic认证在apache下的配置,通过简单的实验演示了HTTP Basic认证的基本原理。        但是,聪明的读者很快可以发现,这种认证方式是存在很多缺陷的,具体表现如下: 1,  Basic认证会通过网络发送用户名和密码,并且是以base
HTTP认证方式之DIGEST 认证摘要认证
LZHH_2008的博客
10-12 5240
DIGEST 认证摘要认证
Http权威指南笔记(十)——认证
VictorCatFish的博客
05-09 657
现在大多数网站都会在cookie等客户端识别机制的基础上建立自己的认证机制。但是HTTP规范中提供的原生认证机制还是有必要了解下,了解这些后才能更好理解那些自己建立的认证机制。 HTTP原生认证功能一般分为基本认证摘要认证。基本认证相对简单,但是安全性相对较弱,摘要认证要复杂一些,当然安全性也会高一些。在介绍这两种认证方式之前,我们先看下HTTP中涉及到认证的一些通用概念。 1 HTTP认证机制...
WebApi接口安全认证——HTTP摘要认证
Mars Huang
09-17 3713
摘要访问认证是一种协议规定的Web服务器用来同网页浏览器进行认证信息协商的方法。它在密码发出前,先对其应用哈希函数,这相对于HTTP基本认证发送明文而言,更安全。从技术上讲,摘要认证是使用随机数来阻止进行密码分析的MD5加密哈希函数应用。它使用HTTP协议。 一、摘要认证基本流程: 1.客户端请求 (无认证)` GET /dir/index.html HTTP/1.0 Host: localhos...
锐捷认证过程分析与第三方锐捷认证客户端的设计与实现1
08-03
[摘要]本文分析了锐捷认证过程,解释了锐捷认证过程中申请者(Supplicant)与验证者(Authenticator)往来的数据帧的格式和含义,以及锐捷加密认
锚引擎:一种分析docker映像并应用用户定义的接受策略以允许自动容器映像验证认证的服务
02-02
Anchore Engine是一个开源项目,为容器图像的检查,分析认证提供集中服务。 Anchore Engine作为Docker容器映像提供,可以独立运行,也可以在业务流程平台(例如Kubernetes,Docker Swarm,Rancher,Amazon ECS和...
基于Java实现的云计算网络信息传输认证系统【100012517】
05-31
基于国产密码算法使用Java实现的...对已有的国产密码算法的具体实现进行分析和研究,选择适用的对称加密、非对称加密以及消息摘要算法,实现云计算信息系统中的网络信息传输认证,并进行实际系统的应用效果分析验证
大型分布式网站架构与实践
08-24
 如何采用摘要认证方式防止信息篡改、通过数字签名验证通信双方的合法性,以及通过HTTPS协议保障通信过程中数据不被第三方监听和截获。  在开放平台体系下,OAuth协议如何保障ISV对数据的访问是经过授权的合法行为...
摘要认证及实现HTTP digest authentication
大大的CDream
01-08 1万+
最近工作需要做了摘要认证(digest authentication),下面就工作中遇到的问题及过程做一个总结。 第一次客户端请求 GET/POST 服务器产生一个随机数nonce,服务器将这个随机数放在WWW-Authenticate响应头,与服务器支持的认证算法列表,认证的域realm一起发送给客户端,如下例子: HTTP /1.1 401 Unauthorized WWW-Authe...
VC++编写的小程序,用来实现用户登录
08-23
摘要:VC/C++源码,数据库应用,用户登录   说明:这是一个使用VC++编写的小程序,用来实现用户登录,采用了Access数据库。      编译:   1. 编译不受源文件位置和数据库位置的影响。即,Demo01的整个工程复制到任何地方都可编译。      运行:   1. 复制数据库Demo01.mdb到任意位置。   2. 为Demo01.mdb建一个系统ODBC数据源:Demo01.   3. 运行程序的Debug版或者Release版。   4. 目前提供的Demo01.mdb有一个内置记录:    用户名“test”密码“test”    可用这个记录测试,用户也可以自行编辑Demo01.mdb进行测试。 来源:乐乐源码(www.lelecode.com)
http协议之digest(摘要)认证
热门推荐
jszj的专栏
05-13 4万+
参考网址: http://www.faqs.org/rfcs/rfc2617.html http://www.faqs.org/rfcs/rfc1321.html http://www.cnblogs.com/my_life/articles/2285649.html http://blog.sina.com.cn/s/blog_53b15ed5010006t9.html http://
HTTP基本认证&摘要认证(带你一步步算出摘要
切图小弟
03-21 2793
HTTP的质询/响应认证框架
详解摘要认证
weixin_34418883的博客
12-01 479
1. 什么是摘要认证摘要认证与基础认证的工作原理很相似,用户先发出一个没有认证证书的请求,Web服务器回复一个带有WWW-Authenticate头的响应,指明访问所请求的资源需要证书。但是和基础认证发送以Base 64编码的用户名和密码不同,在摘要认证中服务器让客户端选一个随机数(称作”nonce“),然后浏览器使用一个单向的加密函数生成一个消息摘要(message digest),该摘要是关于...
http --- > 基本认证摘要认证
栗子好好吃的博客
06-20 408
基本认证: // (a)客户端:查询 GET /cgi-bin/checkout?cart=17854 HTTP/1.1 // (b)服务器:质询 HTTP/1.1 401 Unauthorized WWW-Authenticate: Basic realm="Shopping Cart" // (c)客户端:响应 GET /cgi-bin/checkout?cart=17854 HTTP/1...
MD5实现HTTP摘要认证
weixin_43606861的博客
08-20 1189
摘要算法又称哈希算法,它表示输入任意长度的数据,输出固定长度的数据,它的主要特征是加密过程不需要密钥,并且经过加密的数据无法被解密,目前可以被解密逆向的只有CRC32算法,只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的密文。消息摘要算法不存在密钥的管理与分发问题,适合于分布式网络上使用。由于其加密计算的工作量相当巨大,所以以前的这种算法通常只用于数据量有限的情况下的加密,消息摘要算法分...
HTTP摘要认证
jesse881025的专栏
02-26 2893
http://zh.wikipedia.org/wiki/HTTP摘要认证点击打开链接 摘要访问认证是一种协议规定的Web服务器用来同网页浏览器进行认证信息协商的方法。它在密码发出前,先对其应用哈希函数,这相对于HTTP基本认证发送明文而言,更安全。 从技术上讲,摘要认证是使用随机数来阻止进行密码分析的MD5加密哈希函数应用。它使用HTTP协议。
关于海康摄像头的摘要认证(转载)
诗筱涵的博客
09-12 2590
关于海康摄像头的摘要认证 y673533511 2019-03-11 10:30:01 4132 正在上传…重新上传取消​ 收藏 6 版权 最近在做一个项目时候要用到摄像头人脸抓拍,人脸识别等功能,原本使用海康的SDK就可以解决的,但是我们项目是在arm平台下开发的,而海康的SDK不支持arm平台,无奈联系的海康的技术支持,他们提供的了一种基于海康私有ISAPI 协议,通过HTTP进行摘要认证。 什么是摘要认证? 简单的说就是你要登录某个网站,网站会让你输入用户名密码才才能进行正常...
实验1.2 bootloader分析与设计验证实验
最新发布
11-21
实验1.2 bootloader分析与设计验证实验是一个旨在深入理解与分析bootloader的实验,通过这个实验能够对系统启动的过程有更全面的了解并能够验证bootloader的设计是否符合预期。 在这个实验中,首先需要对bootloader...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值