浏览器-基本认证(Basic Authentication)-摘要认证(digest authentication)=spring boot实现demo

已于 2022-10-09 16:39:19 修改
阅读量2.4k 收藏 8
点赞数 1
分类专栏: springboot demo linux 文章标签: spring boot java 基本认证 摘要认证 linux
于 2022-10-09 16:37:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/privateobject/article/details/127222799
版权
demo 同时被 3 个专栏收录
32 篇文章 0 订阅
订阅专栏
springboot
23 篇文章 0 订阅
订阅专栏
linux
16 篇文章 0 订阅
订阅专栏

平时开发的 java web 网站登录,都是通过表单提交登录信息。有时一些中间件登录是浏览器弹窗,没有看到表单实现代码。故通过查询,发现两种 HTTP 简单认证: 基本认证( Basic Authentication )、摘要认证( digest authentication )等,本次通过 java实现 spring boot 基本和摘要认证。
基本认证

  1. 客户端发送 HTTP 给服务器;
  2. 发送 Request 中 header 没含Authorization, 服务器返回401 Unauthozied ,并在Response 的 header中WWW-Authenticate添加信息(Basic realm="自定义内容");
  3. 客户端把用户名和密码(用户名+冒号+密码)用 BASE64 编码后,放在 Request 中 header Authorization 发送给服务器, 认证成功
  4. 服务器将 header 中Authorization的用户名密码取出验证, 如果验证通过,将根据请求,返回资源

摘要认证

  1. 客户端发送 HTTP 给服务器;
  2. 发送 Request 中 header 没含Authorization, 服务器产生(Digest 、认证的域realm="自定义内容"、认证的校验方式qop、随机数nonce、随机字符opaque、认证算法algorithm)字符串拼接一起,放在WWW-Authenticate响应头,一起发送给客户端;
  3. 客户端发现401响应,表示需认证,则弹出让用户输入用户名和密码的认证窗口,客户端选择算法,计算出密码和其他数据的摘要(response),放到Authorization的请求头中发送服务器,如客户端要对服务器也进行认证,这时可发送客户端随机数cnonce
  4. 服务接受摘要,选择算法,获取存储的用户名密码,计算摘要跟客户端传输的摘要进行比较,验证是否匹配

参考

HTTP基本认证(Basic Authentication)的JAVA示例
摘要认证及实现HTTP digest authentication
JAVA 调用 RFC2617摘要认证协议的接口
curl命令使用digest方式验证用户
http请求头和响应头
Java猿社区—Http digest authentication 请求代码最全示例
RFC 2617 - HTTP Authentication: Basic and Digest Access Authenti
HTTP Authentication: Basic and Digest Access Authentication
C# 摘要认证(digest authentication) IETF RFC 2617
http协议基本认证 Authorization
中文rfc2617-001
Java 基于 IETF RFC 2617 身份认证

代码

pom

<properties>
    <java.version>1.8</java.version>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
    <spring-boot.version>2.3.1.RELEASE</spring-boot.version>
</properties>

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>cn.hutool</groupId>
        <artifactId>hutool-core</artifactId>
        <version>5.3.8</version>
    </dependency>
	<dependency>
	    <groupId>cn.hutool</groupId>
	    <artifactId>hutool-crypto</artifactId>
	    <version>5.3.8</version>
	</dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
</dependencies>

<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-dependencies</artifactId>
            <version>${spring-boot.version}</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

接口代码


import cn.hutool.core.lang.UUID;
import org.apache.tomcat.util.security.MD5Encoder;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Base64;
import java.util.HashMap;
import java.util.Map;

/**
 * 测试认证接口
 *
 * @author z.y.l
 * @version v1.0
 * @date 2020-09-10
 */
@Controller
@RequestMapping("/auth")
public class AuthController {
    private final Logger logger = LoggerFactory.getLogger(AuthController.class);
    private final static String AUTH_B = "Basic ",AUTH_D = "Digest ";
    @GetMapping ("")
    @ResponseBody
    public String root(){
        return "Hello Spring Boot Auth Demo.By zyl.";
    }
    @GetMapping ("basic/info")
    @ResponseBody
    public String basicInfo(){
        return "Hello Basic Authentication.By zyl.";
    }
    @RequestMapping("basic")
    @ResponseBody
    public String basic(HttpServletRequest request, HttpServletResponse response){
        //基本认证(Basic Authentication)
        String auth = request.getHeader("Authorization");
        if( null == auth || auth.isEmpty() || !auth.startsWith(AUTH_B)){
            logger.info("测试浏览器原生弹窗登录认证-未登录");
            response.addHeader("WWW-Authenticate","Basic realm=\".\"");
            response.setStatus(401);
            //缓存不应存储有关客户端请求或服务器响应的任何内容,即不使用任何缓存
            response.setHeader("Cache-Control", "no-store");
            //0, 代表着过去的日期,即该资源已经过期
            response.setDateHeader("Expires", 0);
        }else {
            logger.info("测试浏览器原生弹窗登录认证-验证登录");
            logger.info("auth, {}",auth);
            auth = new String(Base64.getDecoder().decode(auth.substring(AUTH_B.length())));
            logger.info("auth-decode, {}",auth);
            String[] split = auth.split(":");
            String n = split[0],p = split[1];
            logger.info("auth-decode, name: {} , p: {}",n,p);
        }
        return "Hello Spring Boot Demo.by auth.";
    }
    @RequestMapping("digest")
    @ResponseBody
    public String digest(HttpServletRequest request, HttpServletResponse response){
        //摘要认证 digest authentication
        /*
        摘要认证及实现HTTP digest authentication https://www.jianshu.com/p/cf5a900d4ef7
        */
        String auth = request.getHeader("Authorization");
        if( null == auth || auth.isEmpty() || !auth.startsWith(AUTH_D)){
            logger.info("测试浏览器原生弹窗登录认证-摘要认证-未登录");
            Map<String, String> map = new HashMap<>(5);
            //值是一个简单的字符串
            map.put("realm","realm");
            //保护质量,是认证的(校验)方式.auth表示认证;auth-int表示完整性保护认证
            map.put("qop","auth,auth-int");
            //是随机数, 可以用GUID
            map.put("nonce",UUID.fastUUID().toString(true));
            //是个随机字符串,它只是透传而已,即客户端还会原样返回过来。
            map.put("opaque",UUID.fastUUID().toString(true));
            //是个字符串,用来指示用来产生分类及校验和的算法对。如果该域没指定,则认为是“MD5“算法。
            map.put("algorithm","MD5");
            StringBuilder sb = new StringBuilder(AUTH_D);
            map.forEach((k,v) -> sb.append(k).append('=').append('"').append(v).append('"').append(','));
            response.addHeader("WWW-Authenticate",sb.toString());
            logger.info("WWW-Authenticate: {}",sb.toString());
            response.setStatus(401);
        }else {
            logger.info("测试浏览器原生弹窗登录认证-摘要认证-验证登录");
            logger.info("auth, {}",auth);
            String[] split = auth.split(", ");
            String nc = "",cnonce="",nonce="",qop="",algorithm="";
            for (String sp : split) {
                logger.info("auth-ap, {}",sp);
                if(sp.startsWith("nc")){
                    nc = sp.substring("nc=".length());
                }else if(sp.startsWith("cnonce")){
                    cnonce = sp.substring("cnonce=".length());
                }else if(sp.startsWith("nonce")){
                    nonce = sp.substring("nonce=".length());
                }else if(sp.startsWith("qop")){
                    qop = sp.substring("qop=".length());
                }else if(sp.startsWith("algorithm")){
                    algorithm = sp.substring("algorithm=".length());
                }
            }
            String name = "asd", realm = "realm",pass = "123456";
            String a1 = name+":"+realm+":"+pass;
            MD5 md_5 = MD5.create();
            String ha1 = md_5.digestHex(a1,"UTF-8");
            logger.info("MD5 name:realm:pass > {} > {}",a1,ha1);

            boolean sess = "MD5-sess".equalsIgnoreCase(algorithm);
            if(sess){
                ha1 = ha1 + ":" + nonce + ":" + cnonce;
                logger.info("MD5-sess md5(name:realm:pass):nonce:cnonce > {} > {}",a1,ha1);
            }

            String a2 = "get:/hello/digest";
            String ha2 = md_5.digestHex(a2,"UTF-8");
            logger.info(" method:uri > {} > {}",a2,ha2);

            if("auth-int".equals(qop)){
                logger.info("如果 qop 值为“auth-int”,那么 HA2 为:HA2=MD5(A2)=MD5(method:digestURI:MD5(entityBody)),实现代码未找到");
            }
            if("auth".equalsIgnoreCase(qop) || "auth-int".equalsIgnoreCase(qop)){
                String md = ha1+":"+nonce+":"+nc+":"+cnonce+":"+qop+":"+ha2;
                String md5 = md_5.digestHex(md,"UTF-8");
                logger.info("response ha1:nonce:nc:cnonce:qop:ha2 > {} > {}",md,md5);
            }else{
                String md = ha1+":"+nonce+":"+ha2;
                String md5 = md_5.digestHex(md,"UTF-8");
                logger.info("response ha1:nonce:ha2 > {} > {}",md,md5);
            }
        }
        return "Hello Spring Boot Demo.by digest.";
    }
    @GetMapping ("digest/info")
    @ResponseBody
    public String digestInfo(){
        return "Hello Digest Authentication.By zyl.";
    }
}

测试

请求:http://localhost:8080/auth
在这里插入图片描述

基本认证

浏览器访问

请求:http://localhost:8080/auth/basic,浏览器提示登录,请求报文显示了后端响应内容
在这里插入图片描述
输入账号密码登陆后,请求头会携带认证信息
在这里插入图片描述
日志
在这里插入图片描述

[AuthController.java:62] =.= 测试浏览器原生弹窗登录认证-验证登录
[AuthController.java:63] =.= auth, Basic YWRtaW46MTIzNDU2
[AuthController.java:65] =.= auth-decode, admin:123456
[AuthController.java:68] =.= auth-decode, name: admin , p: 123456

请求:http://localhost:8080/auth/basic/info,就会携带认证信息
在这里插入图片描述

Linux使用curl访问

在Linux服务器通过curl访问认证接口

curl -u test http://192.168.xxx.xxx:8080/auth/basic
Enter host password for user 'test':
Hello Spring Boot Demo.by auth.

在这里插入图片描述
接口打印日志
在这里插入图片描述

[AuthController.java:54] =.= 测试浏览器原生弹窗登录认证-验证登录
[AuthController.java:55] =.= auth, Basic dGVzdDo2NTQzMjE=
[AuthController.java:57] =.= auth-decode, test:654321
[AuthController.java:60] =.= auth-decode, name: test , p: 654321

摘要认证

浏览器访问

请求:http://localhost:8080/auth/digest,浏览器提示登录
在这里插入图片描述
输入账号密码登陆后,请求头会携带认证信息
在这里插入图片描述
在这里插入图片描述

[AuthController.java:91] =.= 测试浏览器原生弹窗登录认证-摘要认证-验证登录
[AuthController.java:92] =.= auth, Digest username="asd", realm="realm", nonce="d8df2efaecf74dd8a736147794eb2aff", uri="/auth/digest", algorithm=MD5, response="bfcdf3e596dace72c035de009f96458b", opaque="b4bccdce4a6b4ba1a42acf3d357c33bc", qop=auth, nc=00000004, cnonce="b2596a7472eee0df"
[AuthController.java:96] =.= auth-ap, Digest username="asd"
[AuthController.java:96] =.= auth-ap, realm="realm"
[AuthController.java:96] =.= auth-ap, nonce="d8df2efaecf74dd8a736147794eb2aff"
[AuthController.java:96] =.= auth-ap, uri="/auth/digest"
[AuthController.java:96] =.= auth-ap, algorithm=MD5
[AuthController.java:96] =.= auth-ap, response="bfcdf3e596dace72c035de009f96458b"
[AuthController.java:96] =.= auth-ap, opaque="b4bccdce4a6b4ba1a42acf3d357c33bc"
[AuthController.java:96] =.= auth-ap, qop=auth
[AuthController.java:96] =.= auth-ap, nc=00000004
[AuthController.java:96] =.= auth-ap, cnonce="b2596a7472eee0df"
[AuthController.java:113] =.= MD5 name:realm:pass > asd:realm:123456 > 41fd06d7b3a49c6fc0d44d338b3b2fb8
[AuthController.java:123] =.=  method:uri > get:/hello/digest > a422e85fbdc5fb6cb7d362a4207ff531
[AuthController.java:131] =.= response ha1:nonce:nc:cnonce:qop:ha2 > 41fd06d7b3a49c6fc0d44d338b3b2fb8:"d8df2efaecf74dd8a736147794eb2aff":00000004:"b2596a7472eee0df":auth:a422e85fbdc5fb6cb7d362a4207ff531 > f5faaf2b18a4ed555cdec05a02454398

请求:http://localhost:8080/auth/digest/info,就会携带认证信息
在这里插入图片描述

Linux使用curl访问

在Linux服务器通过curl访问认证接口

curl -i http://192.168.xxx.xxx:8080/auth/digest -X GET --digest --user asd:12345
HTTP/1.1 401 
WWW-Authenticate: Digest realm="realm",qop="auth,auth-int",opaque="0f7db485912f42d5b3a22dbf0ecb771e",nonce="723bb303214c479496ab83afc54eedc3",algorithm="MD5",
Content-Type: text/plain;charset=UTF-8
Content-Length: 33
Date: Sun, 09 Oct 2022 08:34:42 GMT

HTTP/1.1 200 
Content-Type: text/plain;charset=UTF-8
Content-Length: 33
Date: Sun, 09 Oct 2022 08:34:42 GMT

Hello Spring Boot Demo.by digest.

在这里插入图片描述
接口打印日志,两次请求
在这里插入图片描述

[AuthController.java:73] =.= 测试浏览器原生弹窗登录认证-摘要认证-未登录
[AuthController.java:88] =.= WWW-Authenticate: Digest realm="realm",qop="auth,auth-int",opaque="0f7db485912f42d5b3a22dbf0ecb771e",nonce="723bb303214c479496ab83afc54eedc3",algorithm="MD5",
[AuthController.java:91] =.= 测试浏览器原生弹窗登录认证-摘要认证-验证登录
[AuthController.java:92] =.= auth, Digest username="asd", realm="realm", nonce="723bb303214c479496ab83afc54eedc3", uri="/auth/digest", cnonce="ICAgICAgICAgICAgICAgICAgICAgICAgIDIxMDU1MTU=", nc=00000001, qop=auth, response="21d1f834c6c12b9baf6f87ffdaf76edf", opaque="0f7db485912f42d5b3a22dbf0ecb771e", algorithm="MD5"
[AuthController.java:96] =.= auth-ap, Digest username="asd"
[AuthController.java:96] =.= auth-ap, realm="realm"
[AuthController.java:96] =.= auth-ap, nonce="723bb303214c479496ab83afc54eedc3"
[AuthController.java:96] =.= auth-ap, uri="/auth/digest"
[AuthController.java:96] =.= auth-ap, cnonce="ICAgICAgICAgICAgICAgICAgICAgICAgIDIxMDU1MTU="
[AuthController.java:96] =.= auth-ap, nc=00000001
[AuthController.java:96] =.= auth-ap, qop=auth
[AuthController.java:96] =.= auth-ap, response="21d1f834c6c12b9baf6f87ffdaf76edf"
[AuthController.java:96] =.= auth-ap, opaque="0f7db485912f42d5b3a22dbf0ecb771e"
[AuthController.java:96] =.= auth-ap, algorithm="MD5"
[AuthController.java:113] =.= MD5 name:realm:pass > asd:realm:123456 > 41fd06d7b3a49c6fc0d44d338b3b2fb8
[AuthController.java:123] =.=  method:uri > get:/hello/digest > a422e85fbdc5fb6cb7d362a4207ff531
[AuthController.java:131] =.= response ha1:nonce:nc:cnonce:qop:ha2 > 41fd06d7b3a49c6fc0d44d338b3b2fb8:"723bb303214c479496ab83afc54eedc3":00000001:"ICAgICAgICAgICAgICAgICAgICAgICAgIDIxMDU1MTU=":auth:a422e85fbdc5fb6cb7d362a4207ff531 > 04b7f44c993d847534f97489c80f08b6

END

privateobject
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt-angular-spring-boot-security:JWT CORS Angular Spring Boot ACL安全认证示例
05-19
jwt-angular-spring-boot-security 快速概述 预安装的要求:Java 1.8 +,Maven,Node.js,Node Package Manager(NPM),MySQL。 设置:(在Angular和Spring-Boot端都需要一些初始化命令) 转到要在其中安装项目的目录,然后运行以下命令: git clone https://github.com/mccarthyr/jwt-angular-spring-boot-security cd jwt-angular-spring-boot-security/UI npm install cd ../API/athlete 在此位置,您需要编辑src / main / resource / application.properties文件,以添加您自己的用户名和密码来进行数据库连接。 完成后,请使用以下命
spring-boot-basic-auth:使用基本身份验证的安全Spring Boot REST API
02-04
弹簧启动基本认证 使用基本身份验证来保护Spring Boot REST API
http-长连接,短连接
最新发布
naozheyun2998的博客
02-06 933
长连接,短连接
ring-basic-authentication:强制执行基本身份验证的环形中间件
01-29
ring-basic-authentication:强制执行基本身份验证的环形中间件
模拟Digest认证的登录demo
01-15
一个模拟http 401 Digest认证的登录海康NVR抓取摄像头列表的小demo
spring-boot-angular4-authentication:具有弹簧安全性的spring-boot和angular 4基本认证
01-30
spring-boot和angular4身份验证应用程序 该项目是使用带有Spring Security的简单Spring Boot后端API对Angular4前端应用程序进行的简单安全身份验证。 您将学到什么 使用Spring Boot构建Rest API 使用Spring Security保护您的Rest API 建立无状态验证 使用angular 4构建一个简单的前端应用程序 里面有什么 弹簧靴 角度4 演示 用户登录 创建一个新账户 用户资料
authentication_basic
02-18
自述文件 基本认证应用 什么剂量呢? 它是平面用户认证应用程序。 类图 待定 如何使用 它提供了网络视图和API。 您可以创建测试帐户。 $ rails db:seed 这是测试帐户信息。 昵称:“ test”, 电子邮件:“ ”, 密码:“ testtest” 启动本地服务器 $ bin/rails s 网页检视 访问http://localhost:3001/ TBS api 终点待定
HTTP Digest authentication
EIP的专栏
12-22 2万+
<br />(Digest authentication)是一个简单的认证机制,最初是为HTTP协议开发的,因而也常叫做HTTP摘要,在RFC2671中描述。其身份验证机制很简单,它采用杂凑式(hash)加密方法,以避免用明文传输用户的口令。<br />摘要认证就是要核实,参与通信的双方,都知道双方共享的一个秘密(即口令)。<br /> <br />当服务器想要查证用户的身份,它产生一个摘要盘问(digest challenge),并发送给用户。典型的摘要盘问如下:<br /> <br />Digest r
HTTP基础认证Basic Authentication
03-21 322
HTTP基础认证Basic Authentication Basic Authentication是一种HTTP访问控制方式,用于限制对网站资源的访问。这种方式不需要Cookie和Session,只需要客户端发...
asp.net权限认证摘要认证(digest authentication)
angqishe7119的博客
01-29 177
摘要认证简单介绍 摘要认证是对基本认证的改进,即是用摘要代替账户密码,从而防止明文传输中账户密码的泄露 之前对摘要认证也不是很熟悉,还得感谢圆中的 parry贡献的博文:ASP.NET Web API(三):安全验证之使用摘要认证(digest authentication) 我是觉得真心不错,让我少走很多弯路。这篇文章主要是对上边引用文章的讲解,老司机可以略过。 老规矩,上摘...
HTTP的 Basic 验证
weixin_30448603的博客
03-13 165
什么是HTTP Basic Authentication?在wiki上有详细的解释: http://en.wikipedia.org/wiki/Basic_authentication_schemeHTTP Basic Authentication是一个定义在HTTP/1.1规范中的验证机制。这种机制是以用户名和密码为基础的。一个web server要求一个web client去验证一个...
firebase-spring-boot-rest-api-authentication:Firebase Spring Boot Rest API身份验证
01-30
用于Spring Boot的Firebase身份验证 Firebase是无后端平台,可在没有专用后端的情况下运行应用程序。 但是,有时您可能需要与现有后端的API通信,或者您可能希望专用后端执​​行通过Firebase基础结构无法完成的操作。 当您想通过Spring Security扩展Firebase的身份验证机制以无缝创建和使用受保护的rest API时,此Spring Boot Starter非常适合此类情况。 组态 请确保全局添加以下环境变量或项目特定的运行配置环境变量GOOGLE_APPLICATION_CREDENTIALS=path_to_firebase_server_config.json 可以将启动程序配置为将Firebase会话用作客户端/严格地用作服务器端,或同时用作两者。 启用了仅Htty /安全功能的会话cookie可能无法在开发主机(localhost,120.0.0.1)中正常工作。 使用反向代理主机添加自签名的ssl证书可以很好地工作。 阅读本文=> 可以编辑以下应用程序属性以自定义您的需求。 示例@ 角色管理 可以在用户注册期间通过Sec
HTTP基本认证(Basic Authentication)的JAVA示例
mfkpie的专栏
02-14 1327
HTTP基本认证(Basic Authentication)的JAVA示例 大家在登录网站的时候,大部分时候是通过一个表单提交登录信息。 但是有时候浏览器会弹出一个登录验证的对话框,如下图,这就是使用HTTP基本认证。 下面来看看一看这个认证的工作过程: 第一步:客户端发送http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的话, 服务器会返回一个401...
Solr Basic Authentication基本身份认证
weixin_37569601的博客
07-01 1647
Solr 使用 BasicAuthPlugin 支持用户的基本身份验证。
Golang实现更安全的HTTP基本认证(Basic Authentication)
neweastsun的专栏
04-10 2687
本文介绍了Go如何实现安全http基本认证,首先介绍原理,后面给出详细实现过程,最后通过curl和GO http客户端进行验证。详细内容参考:https://www.alexedwards.net/blog/basic-authentication-in-go。
HTTP基本认证(Basic Authentication)
热门推荐
一个写了10年bug的程序员日常笔记。
11-30 3万+
在浏览网页时候,浏览器会弹出一个登录验证的对话框,如下图,这就是使用HTTP基本认证。 1、 客户端发送http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的话, 服务器会返回一个401 Unauthozied给客户端,并且在Response 的 header “WWW-Authenticate” 中添加信息。 如下图。2、:浏览器在接受到401 Unautho
39.BasicAuthentication认证
weixin_43247178的博客
10-09 318
BasicAuthentication认证介绍 BasicAuthentication使用HTTP基本认证机制 通过用户名/密码的方式验证,通常用于测试工作,尽量不要线上使用 用户名和密码必须在HTTP报文头部,为 Authorization 属性提供值为 Basic amFjazpmZWl4dWVsb3ZlMTAw 的方式提供 其中 Basic 字符串是键,后面的一串乱码是通过base6...
Spring Boot - 开启 HttpBasic 认证方式
qq_29761395的博客
01-03 4617
文章目录思路实践环境新建项目测试参考 思路 想要开启 HttpBasic 认证方式,服务器需要设置响应头 WWW-Authenticate: Basic realm="Realm"。当客户端(浏览器)访问指定的 URL,就会触发 HttpBasic 认证方式: 当用户在 Sign in 对话框中输入用户名和密码,点击 Sign in 按钮之后,浏览器使用 Base64 对用户名和密码进行编码,然后将其放在 Authorization 请求头中发送给服务器: 注意:因为浏览器使用 Base64 对用户名和
BA(Basic authentication)认证实践
一不小心吃太撑了
03-30 2990
1、概念介绍 Basic authentication:是一种最简单的对Web资源进行访问控制的方法,属应用层的安全保障手段。常用的签名算法有:base64、HmacSHA1 1)优点:简单 服务器无需维护session、cookie,方便curl测试。 甚至可以不用登陆界面 使用HTTP header中的标准字段,所以也不需要握手 2)缺点:如果只采用通过base64这种签名算法进行传输是不行的,因为很容易就被解码。所以为了保证BA的安全,要通过私钥定制签名算法 2、BA认证的过程 案例
Django-rest-framework 接口实现 认证:(auth | authentication)
05-28
Django-rest-framework提供了多种认证方式,可以在settings.py中进行配置。常用的认证方式有以下几种: 1. SessionAuthentication:使用Django的Session认证方式,需要在请求头中添加Cookie信息。 2. BasicAuthentication:使用HTTP基本认证方式,需要在请求头中添加Authorization信息。 3. TokenAuthentication:使用Token令牌认证方式,需要在请求头中添加Authorization信息,值为Token token字符串。 4. JSONWebTokenAuthentication:使用JSON Web令牌认证方式,需要在请求头中添加Authorization信息,值为JWT token字符串。 在视图中使用认证方式可以通过装饰器或者继承APIView来实现,例如: ```python from rest_framework.authentication import SessionAuthentication from rest_framework.views import APIView class MyView(APIView): authentication_classes = [SessionAuthentication] def get(self, request, format=None): # 处理GET请求 pass ``` 以上代码中,使用了SessionAuthentication进行认证,可以在其他视图中使用其他认证方式进行认证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值