iOS中 Http 摘要(DIGEST)认证

最新推荐文章于 2024-04-18 10:51:33 发布
最新推荐文章于 2024-04-18 10:51:33 发布
阅读量1.5k 收藏
点赞数
分类专栏: IOS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jesse881025/article/details/43669607
版权
参考自 
http://blog.csdn.net/hotnet522/article/details/5824716

HTTP请求报头: Authorization->
NSURL *strURL = [NSURL URLWithString:m_strAddress];
NSMutableURLRequest *theRequest = [NSMutableURLRequest requestWithURL:strURL cachePolicy:NSURLRequestReloadIgnoringLocalCacheData timeoutInterval:5];
    if (theRequest == nil)
    {
        return NO;
    }
    
[theRequest setValue:author forHTTPHeaderField:@"Authorization"];//这里设置http请求报头, author是已经组装好的认证信息,下面会说明。
HTTP响应报头: WWW-Authenticate->
    在- (void)connection:(NSURLConnection *)connection didReceiveResponse:(NSURLResponse *)response方法中可以取得该返回值。
    NSDictionary * pFieldd =[(NSHTTPURLResponse*)response allHeaderFields];
    NSString * strAuthenticate = [pFieldd valueForKey:@"Www-Authenticate"];


◆ 摘要认证 digest authentication    ← HTTP1.1提出的基本认证的替代方法
    服务器端以nonce进行质询,客户端以用户名,密码,nonce,HTTP方法,请求的URI等信息为基础产生的response信息进行认证的方式。
    ※ 不包含密码的明文传递
    
     摘要认证步骤:
     1. 客户端访问一个受http摘要认证保护的资源。
     2. 服务器返回401状态以及nonce等信息,要求客户端进行认证。
HTTP/1.1 401 Unauthorized
WWW-Authenticate:Digest
realm="testrealm@host.com",
qop="auth,auth-int",
nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
opaque="5ccc069c403ebaf9f0171e9517f40e41"
     3. 客户端将以用户名,密码,nonce值,HTTP方法, 和被请求的URI为校验值基础而加密(默认为 MD5算法)的摘要信息返回给服务器。
           认证必须的五个情报:
     ? realm : 响应中包含信息->由服务器返回
     ? nonce : 响应中包含信息->由服务器返回
     ? username : 用户名->
     ? digest-uri : 请求的URI->一般为全路径,具体要向服务器端设计人员询问。
     ? response : 以上面四个信息加上密码信息,使用MD5算法得出的字符串,这是由客户端计算的。
           如果客户端需要反过来对服务器端进行认证,还需要发送一个cnonce参数(个人认为应该就是在取得 response过程中产生的那个随机数~待验证)。
取得了全部信息后,向服务器端发送认证消息的格式如下(注意,所有的=,“”,/ 符号都要一一对应,不能多也不能少)
Digest username="Mufasa",// ← 客户端已知信息
realm="testrealm@host.com", //  ← 服务器端质询响应信息
nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", // ← 服务器端质询响应信息
uri="/dir/index.html",// ← 客户端已知信息
qop=auth,  // ← 服务器端质询响应信息
nc=00000001,// ← 客户端计算出的信息
cnonce="0a4f113b",// ← 客户端计算出的客户端nonce
response="6629fae49393a05397450978507c4ef1", //← 最终的摘要信息 ha3
opaque="5ccc069c403ebaf9f0171e9517f40e41"  ← 服务器端质询响应信息
     4. 如果认证成功,则返回相应的资源。如果认证失败,则仍返回401状态,要求重新进行认证。

     特记事项:
     1. 避免将密码作为明文在网络上传递,相对提高了HTTP认证的安全性。
     2. 当用户为某个realm首次设置密码时,服务器保存的是以用户名,realm,密码为基础计算出的哈希值(ha1),而非密码本身。
     3. 如果qop=auth-int,在计算ha2时,除了包括HTTP方法,URI路径外,还包括请求实体主体,从而防止PUT和POST请求表示被人篡改。
     4. 但是因为nonce本身可以被用来进行摘要认证,所以也无法确保认证后传递过来的数据的安全性。

   ※ nonce:随机字符串,每次返回401响应的时候都会返回一个不同的nonce。 
   ※ nounce:随机字符串,每个请求都得到一个不同的nounce。 
      ※ MD5(Message Digest algorithm 5,信息摘要算法)
         ① 用户名:realm:密码 ? ha1
         ② HTTP方法:URI ? ha2
         ③ ha1:nonce:nc:cnonce:qop:ha2 ? ha3
   网上有开源的md5算法,依次实现这三步即可。
jesse881025
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iOS实现HTTP认证摘要认证-Digest
a1661408343的博客
09-04 609
收录:shenshi_bing 什么是Digest? 摘要访问认证是一种协议规定的Web服务器用来同网页浏览器进行认证信息协商的方法。它在密码发出前,先对其应用哈希函数,这相对于HTTP基本认证发送明文而言,更安全。 从技术上讲,摘要认证是使用随机数来阻止进行密码分析的MD5加密哈希函数应用. 1. 基本流程 客户端发起GET(PUT、POST、DELETE…)请求 服务器响应401 Unauthorized,WWW-Authenticate指定认证算法,realm指定安全域 客户端重新发起请求,Auth
详解HTTP摘要认证机制
热门推荐
tenfyguo的技术专栏
03-11 3万+
在上一期http://blog.csdn.net/tenfyguo/article/details/6167190笔者较为详细的介绍了HTTPBasic认证在apache下的配置,通过简单的实验演示了HTTP Basic认证的基本原理。        但是,聪明的读者很快可以发现,这种认证方式是存在很多缺陷的,具体表现如下: 1,  Basic认证会通过网络发送用户名和密码,并且是以base
OKHTTP3+springboot
qq_35761348的博客
12-29 694
1.pom文件添加 <dependency> <groupId>com.squareup.okhttp3</groupId> <artifactId>okhttp</artifactId> </dependency> 2.工具类创建 import java.io.IOException; import java.net.InetSocketAddress; import java.net.Proxy; import java
OkHttp3 发送Digest Auth摘要认证
最新发布
坚持就是胜利的博客
04-18 429
okhttp3.0 Digest Auth
Http auth认证的两种方式Basic方式和 Digest认证
Virgil_K2017的博客
06-17 1万+
一、Http Base Auth 方式 当访问一个Http Basic Auth 网站的时候需要提供用户名,密码,否则会返回401 (without authoration)。 Http Basic Authentication认证 有2种方式: 1、请求头部Authorization 添加 用户名/密码 的base64 编码字符串。 2、url拼用户名和密码。 市面上大部分浏览器支持url...
模拟Digest认证的登录demo
01-15
在这个场景,我们关注的是模拟Digest认证的登录过程,这是一个针对HTTP 401 Digest认证的实例,主要用于安全地访问受保护的资源,例如海康NVR(网络视频录像机)的摄像头列表。在此Demo,我们将深入探讨相关...
Http Digest 鉴权
06-21
摘要”式认证Digest authentication)是一个简单的认证机制,最初是为HTTP协议开发的,因而也常叫做HTTP摘要,在RFC2671描述。其身份验证机制很简单,它采用杂凑式(hash)加密方法,以避免用明文传输用户的...
Digest认证摘要 isapi (MD5算法)
11-09
通过阅读"ISAPI协议摘要认证实现方法介绍.pdf"这样的文档,你可以深入学习到如何在实际操作设置和实现Digest认证的ISAPI扩展,包括具体的代码示例和配置步骤。这样不仅能提高Web服务的安全性,还能为开发人员提供...
okhttp-digest:okhttp摘要身份验证器
05-04
okhttp-digest okhttp摘要身份验证器。 大多数代码是从Apache Http Client移植的。重要的该工件已从jcenter转移到了Maven Central! 坐标已从com.burgstaller:okhttp-digest:<version>到io.github.rburgst:okhttp-...
iOS使用MD5加密字符串
09-02
iOS开发,有时我们需要对数据进行加密处理,以确保信息安全。MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,它可以将任意长度的数据转换为固定长度的摘要,通常用于数据校验和密码存储。本文将...
用 PHP 进行 HTTP 认证
weixin_33908217的博客
03-25 85
2019独角兽企业重金招聘Python工程师标准>>> ...
iOS 开发 Message Digest Algorithm 5(MD5加密)
03-17 125
  MD5的全称是Message Digest Algorithm 5(消息摘要算法第五版),是计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护。在90年代初由MIT Laboratory for Computer Science 和RSA Data Security Inc的Ronald L.Rivest开发,经MD2、MD3和MD4发展而来。Message-Digest...
Http认证Digest认证
零度的博客专栏
05-11 4815
和讲Basic篇的内容差不多,不同的是过程采用的是DIGEST认证: Tomcat配置: 1 在tomcat的webapps下新建一个目录authen,再建立子目录subdir,下面放一个index.jsp 2 在authen目录下建立WEB-INF目录,下放web.xml文件,内容如下 Xml代码   security-constraint>    
objective-c 生成字符串的message digest(md5)
java开发指南博客 【转载】
01-17 115
// // MD5.h // MacEncryptTool // // Created by user on 12-1-17. // Copyright (c) 2012年 __MyCompanyName__. All rights reserved. // #import&lt;Foundation/Foundation.h&gt; #import&lt;commoncr...
axiosdigest认证
09-06
它支持多种认证方式,包括基本认证摘要认证等。 在使用axios进行digest认证时,需要先配置axios的请求头Authorization字段。在每个请求,将用户名、密码进行摘要算法处理,然后放入请求头Authorization字段,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值