在最近的项目中,需要实现一个客户端,通过HTTP协议访问Web服务器,即C/S架构。
使用客户端的功能前需要先进行登录认证,原本的设计是:客户端登录成功后,维护一个COOKIE用于保持当前的登录状态。
但是最终的做法是,采用了”HTTP基本认证“,就是将用户的用户名和密码放在HTTP请求头部的Authorization字段中,当然不是放的明文,而是经过Base64编码过的,但是也毫无安全可言,因为Base64只是一种基于字符表的编码方式而已不是加密算法。
下面我们用curl来演示使用HTTP基本认证的方法:
curl通过-u这个参数来输入HTTP Basic Auth用到的用户名和密码
我们可以看到请求头部的“Authorization: Basic dGVzdDp0ZXN0MTIz“,我们使用Base64解码这个"dGVzdDp0ZXN0MTIz"就可以看到这就是"test:test123"; 由于输入的密码不对,我们看到响应头部的"WWW-Authenticate: Basic realm="Authentication Required"",如果用户名和密码正确那么就不会出现这个字段呢!
# curl -v -u test:test123 http://127.0.0.1/api/v1.0/token
* Hostname was NOT found in DNS cache
* Trying 127.0.0.1...
* Connected to 127.0.0.1 (127.0.0.1) port 80 (#0)
* Server auth using Basic with user 'test'
> GET /api/v1.0/token HTTP