[转]www-authenticate认证过程浅析

www-authenticate认证解析
最新推荐文章于 2024-05-01 08:11:24 发布
最新推荐文章于 2024-05-01 08:11:24 发布
阅读量2.5w 收藏 11
点赞数 3
CC 4.0 BY-SA版权
分类专栏: HTTP 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maoliran/article/details/51841420
本文介绍了www-authenticate认证技术的基本原理及其在网络应用中的工作流程。此外还探讨了该技术的优点和缺点,尤其是在安全性方面的问题。

一、www-authenticate简介

www-authenticate是早期的一种简单的,有效的用户身份认证技术。
很多网站验证都采用这种简单的验证方式来完成对客户端请求的数据的合法性进行验证。尤其在嵌入式领域中,此方法使用较多。
缺点:这种认证方式在传输过程中是明码传输的,采用的用户名密码加密方式为BASE-64,其解码过程非常简单,网络上很容易搜索到编解码的源码。采用这种认证方式对于普通用户是较安全的,但稍懂TCP/IP协议和HTTP传输协议和验证过程的,破解这种验证用户名和密码是非常简单的。所以其认证技术并不是很安全。
二、认证过程

其基本认证过程如下(以下事例假设服务端开启了www-authenticate认证功能):

1、首先客户端(一般情况为用户操作的WEB浏览器)会根据用户输入的信息向服务端发送HTTP请求,比如用户要访问www.baidu.com网站,浏览器根据此信息向该网站的服务器发送一个(可能是多个)WEB请求。

2、 服务端收到请求后,首先会解析发送来的数据中是否包含有:
“Authorization: Basic YWRtaW46YWRtaW4=”这种格式的数据,如果没有这样的数据,则服务端会发送HTTP信息头“WWW-Authenticate: Basic realm=“.””到客户端,要求客户端发送合法的用户名和密码到服务端。(在发送此信息头的同时也附带验证失败时显示的页面提示信息,如:、

这里写图片描述

3、当客户端(浏览器)收到带有类似“WWW-Authenticate: Basic realm=“.””的信息后,将会弹出一个对话框,要求用户输入验证信息。

这里写图片描述
这里写图片描述

4、用户输入用户名:admin 密码:admin后,浏览器将以下面这种格式将数据发送给服务器端:
“Authorization: Basic YWRtaW46YWRtaW4=”(以上均不包含双引号)Authorization: Basic为www-authenticate认证的标准HTTP信息头,YWRtaW46YWRtaW4=是经BASE-64加密后的用户名和密码,经解密后的格式为 admin:admin

5、服务器收到带有用户验证信息的数据后,就会解析数据,将用户名和密码提取出来进行验证其有效性,如果用户名和密码全部合法,则将用户请求的页面数据发送给客户端,浏览器将收到的数据还原为网页内容。如果用户验证信息不合法,则返回错误信息。

三、使用www-authenticate认证的优缺点

优点:使用www-authenticate认证,在服务端做的事情较少,有一部分验证处理都是在客户端的浏览器完成的。像是否需要二次输入用户信息,弹出怎样的用户信息对话框,这些都是浏览器做的事,服务端并不需要再编写用户对话框之类的东西,也不需要判断客户端IP是否是同一个。

缺点:验证方式太简单,容易被破解。

HTTP认证之基本认证
Ghosind
10-30 2544
简单介绍HTTP协议中的基本认证(Basic Authentication)。
HTTP 中的用户身份验证
zwkkkk1的博客
08-29 1万+
  身份验证是判断客户端是否有资格访问资源的过程。HTTP 协议支持将身份验证作为协商访问安全资源的一种方式。   来自客户端的初始请求通常是匿名请求,不包含任何身份验证信息。 HTTP 服务器应用程序可以拒绝匿名请求,而同时指示必须进行身份验证。   服务器应用程序发送 WWW-Authentication 头来指示受支持的身份验证方案。 HTTP/1.1 使用认证方式如下: BAS...
HTTP 第七章 身份验证
aXin_li的博客
04-29 4230
身份验证是一种在HTTP请求中验证用户身份的方法。它允许Web服务器验证用户的身份,并且只授予已验证用户访问受保护资源的权限。
www-authenticate
happyqwz的专栏
02-17 4757
www-authenticate是一种简单的用户身份认证技术。 很多验证都采用这种验证方式,尤其在嵌入式领域中。 优点:方便 缺点:这种认证方式在传输过程中采用的用户名密码加密方式为BASE-64,其解码过程非常简单,如果被嗅探密码几乎是透明的. 服务器收到请求后,首先会解析发送来的数据中是否包含有: Authorization: Basic XXXX=这
Http协议WWW-Authenticate
碧血丹心
03-06 5672
HTTP协议有一个叫WWW-Authenticate的头字段,可以用于实现登录验证。它是在RFC 2617中定义的。 当服务器接收到一个request,并在实现下面的代码: [code="java"] http_response.addHeader('WWW-Authenticate', 'Basic realm...'); http_response.setContentType(Mim...
【HTTP】http 401Basic验证和WWW-Authenticate、Authorization
厚积薄发者,轻舟万重山
05-31 8695
http 401Basic验证和WWW-Authenticate、Authorization
vue-authenticate, 简单 Vue.js 身份验证库.zip
09-17
vue-authenticate, 简单 Vue.js 身份验证库 [ WARNING ]: 自述文件目前正在重写中,即将发布。身份验证 使用 Vue.js,提供本地登录/注册,以及使用 Github,Facebook,Google和其他OAuth提供商,可以方便地为提供...
NetCore2_JWTExample:演示.NET Core 2.0的问题,导致401未经WWW-Authenticate授权
05-18
NetCore2_JWT示例 演示.NET Core 2.0的一个问题,该问题导致401未经WWW-Authenticate授权:承载错误=“ invalid_token”,error_description =“签名无效”
gitolite-git-lfs:用于 git-lfs 集成的示例 gitolite 命令(适用于 django-git-lfs)
06-09
gitolite-git-lfs 这是 gitolite 的概念证明 git-lfs 存储服务器助手。 它已被编写为与 django-git-lfs 配合使用,请参阅: : 要求 Gitolite ...安装 在 gitolite 中设置 ... 将 git-lfs-authenticate 放入 $LOCAL_CO
小程序源码 play-authenticate-master(仿版).zip
03-11
免责声明:资料部分来源于合法的互联网渠道收集和整理,部分自己学习积累成果,供大家学习参考与交流。收取的费用仅用于收集和整理资料耗费时间的酬劳。 本人尊重原创作者或出版方,资料版权归原作者或出版方所有,...
www-authenticate与BASE-64认证技术
weixin_30263073的博客
08-28 302
www-authenticate是一种简单的用户身份认证技术。很多验证都采用这种验证方式,尤其在嵌入式领域中。优点:方便缺点:这种认证方式在传输过程中采用的用户名密码加密方式为BASE-64,其解码过程非常简单,如果被嗅探密码几乎是透明的.服务器收到请求后,首先会解析发送来的数据中是否包含有:Authorization: Basic XXXX=这种格式的数据如果没有这样的header数据那么服...
WWW-authenticate 登录验证
ShirleyJade的专栏
11-30 1万+
public class BasicLoginFilter implements Filter { @Override public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain filterChain) throws IOException, ServletException { HttpServ
[] 用WWW-Authenticate实现登录验证
Deeyac的专栏
08-21 3644
WWW-Authenticate实现登录验证文章来源:http://www.keakon.cn/bbs/thread-1989-1-1.html今天在研究HTTP协议时发现一个叫WWW-Authenticate的头字段,可以用于实现登录验证。它是在RFC 2617中定义的。<br /><br />用法很简单,将状态码设为401,在响应头中加上这个字段即可: 引用:WWW-Authenticate: Basic realm="testrealm@keakon.cn" 浏览器接收到这个响应后,就会弹出这样
说说你对HTTP协议中WWW-Authenticate头部的理解。
长风破浪会有时的博客
05-01 1144
举个简单的例子,如果WWW-Authenticate头部的值是“Basic realm='My Website'”,那么它就是在告诉浏览器:“请使用Basic认证方式,认证信息是属于'My Website'这个领域的。”浏览器收到这个信息后,就会帮助用户去准备相应的“门票”(认证信息),然后再次尝试访问资源。想象一下,你去参加一个需要门票的聚会。WWW-Authenticate头部就像是这个门卫一样,它的作用是告诉浏览器:“嘿,这个资源是需要认证的,你得先给我提供一些证明,我才能让你访问。
HTTP, WWW-Authenticate, Authorization 验证授权 | Apache验证 | Python处理
weixin_33697898的博客
10-25 1084
2019独角兽企业重金招聘Python工程师标准>>> ...
HTTP Authentication(HTTP认证
热门推荐
张花生的博客
09-20 1万+
HTTP协议规范中有两种认证方式,一种是Basic认证,另外一种是Digest认证,这两种方式都属于无状态认证方式,所谓无状态即服务端都不会在会话中记录相关信息,客户端每次访问都需要将用户名和密码放置报文一同发送给服务端,但这并不表示你在浏览器中每次访问都要自己输入用户名和密码,可能是你第一次输入账号后浏览器就保留在内存中供后面的交互使用。 BASIC基本认证 概述 ...
HTTP - 认证实现方案汇总 - 学习与探究
"代码"的日常搬运
05-21 3468
1.应用场景 主要用于客户端与服务端通信的身份认证~~ 2.学习/操作 1.HTTP 认证概述 HTTP 协议本身是无状态的,服务器并不知道客户端发起请求的用户身份,为了搞清楚对方是谁,就需要客户端自报家门。客户端表明自己身份的方式主要有以下几种: 密码 令牌(可以看作是动态生成的密码,多用于 API 认证) 数字证书 生物认证(比如指纹、刷脸) 而客户端上报身份之后,服务端还要对其进行验证,才能证明身份的真实性,通过 HTTP 进行认证的方式主
WWW-Authenticate 头字段和 Authorization 头字段的区别
yu2yu3yu2的专栏
10-19 964
头字段是客户端向服务器发送的摘要认证响应。这两个头字段在 SIP 摘要认证中协同工作,确保通信的安全性和身份验证。头字段是服务器向客户端发出的认证挑战,而。
osip www-authenticate认证
H265技术专栏
01-05 798
1、www-authenticate简介 www-authenticate是早期的一种简单的,有效的用户身份认证技术。 它是在RFC2617中定义的。 很多网站验证都采用这种简单的验证方式来完成对客户端请求的数据的合法性进行验证。尤其在嵌入式领域中,此方法使用较多。  缺点:这种认证方式在传输过程中是明码传输的,采用的用户名密码加密方式为BASE-64,其解码过程非常简单,网络上很容易搜索到
WWW-Authenticate
最新发布
04-02
### 关于 `WWW-Authenticate` 的基本信息 `WWW-Authenticate` 是 HTTP 协议中的响应头字段之一,主要用于指示客户端需要提供身份验证信息才能访问受保护资源。当服务器接收到未授权的请求时,通常会返回状态码 `401 Unauthorized` 并附带此头部。 #### 响应头结构 该头部定义了认证方案及其参数,常见的认证方式包括 Basic 和 Digest 认证[^3]。以下是其基本语法: ```plaintext WWW-Authenticate: <type> realm="<realm>" ``` 其中 `<type>` 表示使用的认证机制(如 Basic 或 Digest),而 `realm` 则是一个可选字符串,用于描述受保护区域的名字或范围。 #### 示例:Basic Authentication 对于简单的用户名密码组合,可以采用如下形式实现基础认证: ```plaintext HTTP/1.1 401 Unauthorized WWW-Authenticate: Basic realm="Access to staging site" Content-Type: text/html; charset=utf-8 ``` 这里指定了领域名为 `"Access to staging site"` ,提示用户输入凭证来获取进一步权限[^1]。 #### 示例:Digest Access Authentication 更安全的方式是通过摘要算法处理敏感数据传输风险问题。下面展示了一个典型的例子: ```plaintext HTTP/1.1 401 Unauthorized WWW-Authenticate: Digest realm="example", qop="auth", nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", opaque="5ccc069c403ebaf9f0171e9517f40e41" ``` 上述片段包含了多个额外选项如 quality-of-protection (QOP),随机数挑战(nonce卡)以及其他辅助值(opaque)。 ### 客户端回应流程概述 一旦浏览器或其他类型的代理程序遇到此类消息,则弹出对话框让用户填写必要的登录详情;随后这些资料会被编码成适当的形式重新提交给目标网址作为Authorization 请求的一部分完成整个循环过程[^2]。 ### 实现注意事项 开发人员需要注意的是,在实际部署过程中应当考虑安全性因素,例如避免明文传送机密信息、定期更换nonces防止重放攻击等问题的发生。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值