Http基本认证

已于 2022-09-05 23:53:26 修改
阅读量407 收藏
点赞数
分类专栏: # SpringSecurity 文章标签: http认证
于 2022-08-06 12:35:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hc1285653662/article/details/126192981
版权

觉得很形象的比喻:https://zhuanlan.zhihu.com/p/64584734

一、HTTP基本认证

HTTP基本认证是在RFC2616中定义的一种认证模式,优点是使用简单、没有复杂页面交互

1、HTTP基本认证有4个步骤:

1)客户端发起一条没有携带认证信息的请求
2)服务器返回一条401 Unauthorized响应,并在WWW-Authentication首部说明认证形式,当进 行HTTP基本认证时,WWW-Authentication会被设置为Basic realm=“被保护页面”
3)客户端收到401 Unauthorized 响应后,弹出对话框,询问用户名和密码。当用户完成后,客 户端将用户名和密码使用冒号拼接并编码为Base64形式,然后放入请求的Authorization首部发送给服务器。
4)服务器解码得到客户端发来的用户名和密码,并在验证它们是正确的之后,返回客户端请求 的报文。
在这里插入图片描述

HTTP基本认证是一种无状态的认证方式,与表单认证相比,HTTP基本认证是一种基 于HTTP层面的认证方式,无法携带session,即无法实现Remember-me功能。另外,用户名和密码在传 递时仅做一次简单的Base64编码,几乎等同于明文传输,极易出现密码被窃听和重放攻击等安全性问 题,在实际系统开发中很少使用这种方式来进行安全验证。如果有必要,也应使用加密的传输层(例如HTTPS)来保障安全。

二、HTTP摘要认证

HTTP摘要认证和HTTP基本认证一样,也是在RFC2616中定义的认证模式
与 HTTP 基本认证相比,HTTP 摘要认证使用通信双方都可知的口令进行校验,且最终的传输数据并非明文形式
HTTP 摘要基本认证意在解决 HTTP 基本认证存在的大部分严 重漏洞,但不应将其认为是Web安全的最终解决方案。

1、认识http摘要认证

在未经验证的请求发起时,服务器会首先返回一个401应答,并携带相关的参数,期待客户端依据这些参数继续做出回应,以完成整个验证过程

HTTP摘要认证的回应与HTTP基本认证相比要复杂得多,HTTP摘要认证中涉及的一些 参数:
在这里插入图片描述
通常服务器携带的数据包括realm、opaque、nonce、qop等字段,如果客户端需要做出验证回应,就必须按照一定的算法计算得到一些新的数据 并一起返回

坚持每天学习一点
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Http认证方式】——Basic认证
吃货小跟班的博客
01-06 2万+
今天在访问请求:http://192.168.2.113:8080/geoserver/rest/workspaces时,浏览器弹出窗口需要输入用户名和密码 ,并且,如果不输入或者输入错误,浏览器返回 可以在火狐浏览器的网络监控这里看到请求的详细信息, 服务器会返回一个401 Unauthozied给客户端,并且在Response 的 header “WWW-Authenticate” 中添加
HTTP 基本认证 HttpBasic
qq_35930739的博客
10-16 8161
HTTP认证机制 基本认证、摘要认证 一、基本认证 用BASE64算法加密后的字符串放在HTTP Request中的Header Authorization中发送给服务端, 这种方式叫HTTP基本认证(Basic Authentication) Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。 HTTPBasic是由HTTP协议定义的最基础的认证方式。每次请求时.
Spring Security系列教程04--实现HTTP基本认证
一一哥
09-07 2208
一. Spring Security的认证方式 1. 认证概念 认证: 认证就是用来判断系统中是否存在某用户,并判断该用户的身份是否合法的过程,解决的其实是用户登录的问题。认证的存在,是为了保护系统中的隐私数据与资源,只有合法的用户才可以访问系统中的资源。 2. 认证方式 在Spring Security中,常见的认证方式可以分为HTTP层面和表单层面,常见的认证方式如下: ①. HTTP基本认证; ②. Form表单认证 ③. HTTP摘要认证; 二. HTTP基本认证 1. 基本认证概述
http的basic 认证方式
最新发布
wang0907的博客
04-28 2108
basic auth是一种http协议规范中的一种认证方式,即一种证明你就是你的方式。更进一步的它是一种规范,这种规范是这样子,如果是服务端使用了basic auth认证方式来处理用户请求的话,会从header中获取的头信息,如果是没有该头信息或者是头信息不正确,则会返回401状态码,并添加响应头。如果是浏览器收到了服务端的401响应,并且判断有www-authenticate头信息的话则会弹出自带的用户名密码录入框让用户录入信息,用户录入后浏览器会对录入的信息按照格式。
HTTP基本认证(Basic Authentication)
石头视角
05-06 1899
在浏览网页时候,浏览器会弹出一个登录验证的对话框,如下图,这就是使用HTTP基本认证。 1、 客户端发送http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的话, 服务器会返回一个401 Unauthozied给客户端,并且在Response 的 header “WWW-Authenticate” 中添加信息。 如下图。 2、:浏览器在接受到40...
http 基础认证(Basic Authentication)
u014006264的专栏
07-09 8915
还是几个月前的老东西。  计算机网络作业需要一个http基础认证的网站来学习http协议本身以及它的安全性。实在找不到这种网站,应该是过时了的技术吧。由于认证过程仅仅是Base64加密(其实这个不算加密吧,仅仅是把这些东西转换成MIME的格式方可在网络上面传输),而且每次都要带上这个认证信息的话,那是很不安全的。所以一般会是结合https一起,或者用其他认证方式,比如OA认证。 好了,废话不说
golang的HTTP基本认证机制实例详解
09-21
在Golang中,HTTP基本认证是一种简单而广泛使用的身份验证机制,它允许服务器验证客户端(通常是Web浏览器)发送的请求。基本认证的工作原理是,当客户端首次尝试访问受保护的资源时,服务器会返回一个401 ...
java实现HTTP 基本认证 (Basic Authentication)
01-24
java实现HTTP 基本认证 (Basic Authentication) 大家在登录网站的时候,大部分时候是通过一个表单提交登录信息。 但是有时候浏览器会弹出一个登录验证的对话框,如下图,这就是使用 HTTP 基本认证。 下面来看看一...
PHP中基本HTTP认证技巧分析
10-24
主要介绍了PHP中基本HTTP认证技巧,实例分析了HTTP身份验证的原理与实现方法,具有一定参考借鉴价值,需要的朋友可以参考下
http鉴权认证
04-03
- **HTTP基本认证**:是最简单的鉴权方式,用户名和密码以Base64编码的形式在请求头中发送。由于明文传输,安全性较低。 - **HTTP摘要认证**:比基本认证更安全,它使用哈希函数对用户名、密码和随机字符串进行...
浅谈HTTP使用BASIC认证的原理及实现方法
09-01
HTTP基本认证(BASIC Authentication)是一种简单的身份验证机制,常用于Web服务器对客户端进行身份验证。本文将深入探讨BASIC认证的原理以及如何在实际环境中实现这一机制。 一、BASIC认证概述 BASIC认证HTTP...
HTTP认证(基于HTTP/1.1)
zhongshanxian的博客
07-31 1081
HTTP认证包含BASIC认证基本认证),DIGEST认证(摘要认证)等。下面具体介绍BASIC认证基本认证),DIGEST认证(摘要认证),SSL客户端认证,FormBase认证(基于表单认证)。 1、BASIC认证基本认证认证步骤: 步骤一:客户端发送一个请求到服务器,请求资源。当请求的资源需要BASIC认证时,服务器会返回一个带WWW-Authenticate首部字段的响应,...
http基本认证Authentication OAuth JWT
focus on security
06-29 1167
Authentication: http是一种无状态的协议, 浏览器和web server可以通过cookie来识别身份。 应用程序一般不会使用cookie识别身份,通常是把 "用户名+密码"用BASE64编码放在请求头的Authorization中发送给服务端, 这种方式叫HTTP基本认证(Basic Authentication)。 1.client发送http request到web server 。 2.request中没有包含Authorization头, web server返回一个4.
HTTP基本认证和摘要认证
拙言的专栏
10-28 4523
今天试了下HTTP认证的资料. 主要是基本认证与摘要认证. 其中基本认证是指 Base64(user:pwd)后,放在Http头的Authorization中发送给服务端来作认证. 用Base64纯只是防君子不防小人的做法。所以只适合用在一些不那么要求安全性的场合。          不过如果是做WebAPI不是网页,且web服务器是自己可以控制的,其实没必要那么死板。  我就试了把Bas
Web应用中基于密码的身份认证机制(表单认证HTTP认证: Basic、Digest、Mutual)
u012324798的博客
04-20 3519
表单认证(Form-Based Authentication) 优点:允许开发人员定制登录页面和错误页面。 缺点:不够安全。用户、密码以纯文本形式发送,并且目标服务器未经过身份验证。如果有人拦截传输,则用户名和密码信息可以轻松解码。因此,需结合HTTPS使用。 流程: 1、客户端请求访问受保护的资源(目标URL:http://localhost:8000/resource) 2、如果客户端未经身份...
[转]www-authenticate认证过程浅析
maoliran的博客
07-06 2万+
一、www-authenticate简介www-authenticate是早期的一种简单的,有效的用户身份认证技术。 很多网站验证都采用这种简单的验证方式来完成对客户端请求的数据的合法性进行验证。尤其在嵌入式领域中,此方法使用较多。 缺点:这种认证方式在传输过程中是明码传输的,采用的用户名密码加密方式为BASE-64,其解码过程非常简单,网络上很容易搜索到编解码的源码。采用这种认证方式对于普通用
HTTP基本认证
8小时测试
10-15 527
<br />在HTTP 中,基本认证 是一种用来允许Web浏览器 ,或其他客户端程序在请求时提供以用户名 和口令 形式的凭证。<br />在发送之前,用户名追加一个冒号然后串接 上口令。得出的结果字符串 再用Base64 算法编码。例如,用户名是Aladdin ,口令是open sesame ,拼接后的结果是Aladdin:open sesame ,然后再用Base64编码,得到QWxhZGRpbjpvcGVuIHNlc2FtZQ== 。Base64编码的字符串发送出去,并由接收者解
HTTP基本认证(Basic Authentication)的JAVA示例
热门推荐
交换一个思想,能得到俩思想
06-04 7万+
HTTP基本认证工作原理以及用JAVA如何实现
http协议
qq_41154422的博客
06-06 861
一 . HTTP协议及网络基础 1.http协议是什么? *`超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。 1960年美国人Ted Nelson构思了一种通过计算机处理文本信息的方法,并称之为超文本(hypertext)...
为什么说 HTTP 基本认证不安全
04-02
HTTP 基本认证的不安全主要有以下几点: 1.明文传输:HTTP 基本认证的用户名和密码是以明文的形式传输,容易被窃听和截获,从而导致信息泄露。 2.缺乏加密:HTTP 基本认证不提供数据加密功能,因此容易被中间人...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值