BASIC认证方式的“麻烦事”

最新推荐文章于 2019-04-04 17:00:12 发布
最新推荐文章于 2019-04-04 17:00:12 发布
阅读量96 收藏
点赞数
分类专栏: 身份管理/验证 文章标签: 浏览器 REST 框架
BASIC方式很简单,而且也符合REST的无状态理论。但现在碰到一个新问题,就是我不想在那个很丑陋单调的对话框里输入用户名和密码,于是我搞了一个 Form来提交用户名和密码,当然要使用BASE64造成和那个对话框输入的一样的Authorization的Header(Basic xxxxxxxxxx), 这些都很简单,也能正常通过认证。但是由于我没有在那个对话框里输入用户名和密码,所以浏览器并不知道我的用户名和密码是什么,从而造成我这种方式不能让浏览器在后续的请求中自动带上我造的那个Authorization头,这样麻烦就来了,我每次都自己造那个头,然后set到请求的Header里。而这样做是非常不方便。各位看谁有办法解决这个问题?也不知道浏览器是怎么存储我在那个对话框里输入的用户名和密码的?

因为REST提倡传输credential, 而不是SESSIONID. 因为通常是把用户信息存储在Session里的,但这是一种有状态方式,不是RESTful。 RESTful框架提倡在Request里传输Credential, 而BASIC和DIGEST(Digest认证方式好像也不是真正无状态,我忘记具体是怎么样的了,他好像要在服务器存储一个Nonce。 并且不是所有浏览器支持的)两种认证方法最适合了。而BASIC方法最简便,但是如果安全传输Credential就成了第二个问题。


继续研究。。。。
iteye_8658
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
认证模式之Basic模式
seaboat——a free boat on the sea.(公众号:远洋号)
04-15 1万+
HTTP协议规范中有两种认证方式,一种是Basic认证,另外一种是Digest认证,这两种方式都属于无状态认证方式,所谓无状态即服务端都不会在会话中记录相关信息,客户端每次访问都需要将用户名和密码放置报文一同发送给服务端,但这并不表示你在浏览器中每次访问都要自己输入用户名和密码,可能是你第一次输入账号后浏览器就保留在内存中供后面的交互使用。先看下HTTP协议的Basic认证模式。既然是HTTP协议
basic 认证
Hi, Sun
10-06 113
http://www.mossle.com/docs/auth/html/ch104-basic.html
关于解决不安全的HTTP方法的验证方案
will-E之居
08-04 2622
最近产品要进行安全漏洞检查,发现安全的HTTP方法的验证方案。通过网上找了一些方案,我总结有两种: 一、通过pound前置机来解决,我通过网上的方案验证没有通过(原因没有详查),方案可《http://bbs.csdn.net/topics/390159756》 二、通过修改web.xml解决,但是根据网上的方案进行配置,但是问题没有解决掉。最后无奈我重置了所有的配置文件,一步一步的文件迭代调测
C#进阶系列——WebApi 身份认证解决方案:Basic基础认证
weixin_34353714的博客
03-24 640
前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题。也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想想都恐怖。经过一番折腾,总算是加上了接口的身份认证,在此记录下,也给需要做身份认证的园友们提供参考。 WebApi系列文章 C#进阶系列——WebApi接口测试工具:WebApiTestCli...
http basic authentication通过post方式访问api示例分享 basic认证示例
09-04
要使用基本认证访问API,客户端需要在每个请求中添加`Authorization`头部,其值的格式为`Basic base64-encoded(username:password)`。首先,将用户名和密码连接成`username:password`字符串,然后对这个字符串进行...
浅谈HTTP使用BASIC认证的原理及实现方法
09-01
2. 如果服务器发现请求未经过认证,会返回401响应,包含`WWW-Authenticate`头,指明认证方式(这里是BASIC)和认证范围(realm)。 3. 浏览器或其他HTTP客户端会弹出对话框,要求用户输入用户名和密码。 4. 用户输入...
acegi basic认证具体demo
02-23
Basic认证是一种客户端-服务器认证方式,用户凭据(用户名和密码)以Base64编码的形式包含在请求头的Authorization字段中。这种方式虽然简单,但不安全,因为数据在网络中以明文传输,所以通常会配合HTTPS来确保通信...
C#进阶系列 WebApi身份认证解决方案推荐:Basic基础认证
09-02
C#的WebApi提供了多种身份验证方式,其中Basic认证是一种简单但实用的策略。本文将详细介绍Basic认证的原理及实现方法。 一、为什么需要身份认证 WebApi服务若无身份认证,任何知道接口URL的人都能通过HTTP请求...
Basic Auth认证get请求的java代码片段
01-22
通过base64加密方式将用户名和密码进行封装,生成basic auth的认证信息,再将该信息塞进请求头里,最后通过认证进行get请求。
C# 调用RESTFul接口
努力给自己想要的
12-09 1万+
POST方式调用接口 /* * 需要引入3个命名空间: * 1、using System.Text * 2、using System.IO * 3、using System.Net */ // post请求,参数必须 public static string RestfulLogin(string jsonParam) { string url = "http://192...
给REST接口做鉴权认证:OAuth
热门推荐
kyleada的专栏
03-03 2万+
现在做的App和网站共用REST接口,用的是基于Cookie的认证,按照一般约定采用了30分钟的超时设置,浏览器超时后自动跳转到CAS认证,这个对网页端来说应该说很正常,但是对于App, 并不是银行那样的安全性极高的App,30分钟过后再回来,发现又得重新登录一遍,太无法接受了……为了解决这个问题,App采用了一个不得已的做法,定时ping后台接口……如果定时任务被杀,访问后台接口提示超时的话,再用
restful api 的HTTP认证访问方式
li575098618的专栏
08-26 2667
1、通过用户名和密码访问public static WebResource getClient(String url){ ClientConfig config = new DefaultClientConfig(); config.getFeatures().put(JSONConfiguration.FEATURE_POJO_MAPPING, true);
java添加HTTP基本认证(Basic Authentication)
浪丶荡
09-06 9236
关于HTTP基本认证(Basic Authentication)的原理请参考:http://blog.csdn.net/kkdelta/article/details/28419625 如果某接口采用Http Basic Authentication基本认证,一般由服务方提供用户名密码,当需要访问这个接口时,我们需要在代码中加入认证。//访问前添加认证(MyAuthenticator是自定义内部类
Go实战--通过basic认证的http(basic authentication)
一蓑烟雨任平生 也无风雨也无晴
06-28 1万+
生命不止, 继续 go go go !!!之前写过相关博客: Go实战–go中使用base64加密(The way to go)Go实战–实现简单的restful api(The way to go)今天就跟大家介绍一下带有basic认证的api。何为basic authenticationIn the context of a HTTP transaction, basic access aut
Basic Auth 和 OAuth的区别
Ian Sheng的博客
04-04 1万+
开放平台有两种认证方式,一种是Basic Auth,一种是OAuth。 关于OAuth1,OAuth2的异同 移步->>https://blog.csdn.net/qq_15028299/article/details/89028851 1、Basic Auth(HTTP Auth) Basic Auth简单点说明就是每次请求API时都提供用户的username和passwo...
关于 RESTFUL API 常用认证方式
shrek11的专栏
11-17 2407
1,HTTP Basic Basic admin:admin  Basic YWRtaW46YWRtaW4=  Authorization: Basic YWRtaW46YWRtaW4=  由于HTTP协议是无状态的,所有每次请求都得带上身份信息,基于Http basic验证就是简单的将用户名和密码base64编码放到header中,一般需要HTTPS,安全性较低,实现的方式可以基于代码实现也可...
HTTP基本认证(Basic Authentication)的JAVA示例
顾传龙
06-05 2433
本文转自:http://blog.csdn.net/kkdelta/article/details/28419625
如何实现RESTful Web API的身份验证
anw53724的博客
01-18 478
最近想拿一个小项目来试水RESTful Web API,项目只有几个调用,比较简单,但同样需要身份验证,如果是传统的网站的话,那不用说,肯定是用户名+密码在登录页获得登录Token,并把登录Token记在Cookie和Session中作为身份标识的这种方式,但现在不同了,关键是RESTful,这意味着我们设计出来的这些API是无状态的(Stateless),下一次的调用请求和这一次的调用...
shiro basic 认证
最新发布
06-06
Shiro基本认证需要在Shiro配置文件中配置一个Realm,Realm是Shiro与安全相关数据的连接器,用于验证用户身份、授权等操作。 在Shiro基本认证中,用户输入用户名和密码后,Shiro会从配置文件中的Realm中获取用户信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值