Http协议 - 用户认证

已于 2023-11-07 18:45:50 修改
阅读量911 收藏
点赞数
分类专栏: 网络编程 文章标签: http 网络协议 网络
于 2020-10-29 15:32:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qazw9600/article/details/109361279
版权

简介

  • 用户认证即用户身份验证,直白点说就是识别http请求者是谁。

目的

  • HTTP最初是一个匿名,无状态的请求/响应协议,服务器处理来自客户端的请求,然后向客户端回送一条响应。
  • 随着行业的发展,人们意识到访问的安全性,服务器的一部分受保护的资源无法开放给普通用户,因此需要一种机制来识别用户。
  • 用户认证的初始需求是控制受保护资源的访问,如今已扩展出许多其它功能,例如:大数据杀熟等。

认证方式

质询/响应方式(challenge/response)

  • 质询/响应方式是HTTP提供了一套标准的身份验证框架,服务器可对客户端的请求发送质询(challenge),客户端根据质询提供身份验证凭证。
  • 工作流程:访问受限资源时,如果用户没有认证(即无用户信息或者用户信息过期),服务器将会返回401(Unauthorized,未授权)状态码,并在response header中添加WWW-Authenticate信息以告知客户端认证方式和相关信息,然后客户端在以后的每一次请求中添加Authorization头以供验证,其Value为身份验证的凭证信息。

基本认证(Basic Authentication)

  • 基本认证是原始的HTTP / 1.0协议的身份验证方案,它使用浏览器提供的对话框捕获用户名和密码,然后使用特定的编码传输凭据,具体流程如下:
  1. 访问受限资源,服务器返回如下:
返回状态吗: 401 Unauthorized
返回头包含如下项:
WWW-Authenticate: Basic realm="example.com"
  1. 浏览器弹出对话框,用户输入账号密码,浏览器重新发送请求:
请求头中包含以下项:
Authorization: Basic YWRtaW46MTIzNDU2
  1. 认证成功服务器通过该访问,认证失败则重新认证
  • 请求中Authorization头的YWRtaW46MTIzNDU2是由用户名admin和密码123456组合后使用base64编码而成,如下:
base64(username:password)
base64(“admin:123456”)
  • 缺陷:
  1. 账号信息随每个请求一起发送,未对密码进行加密。
  2. 发送的认证信息是固定的

摘要式身份验证(Digest Authentication)

  • 为解决基本认证存在的缺陷,从HTTP/1.1起支持Digest认证,Digest认证和基本认证使用同样的流程,只是做了以下改进:
  1. 服务器返回的WWW-Authenticate以及浏览器发送的请求中的Authorization更为复杂,夹带了更多的信息,以及一些随机数据。
  2. 不像基本认证那样固定使用base64编码,Digest认证默认采用MD5消息摘要算法对信息进行摘要,也可采用其它算法。
  • 具体流程如下:
  1. 访问受限资源,服务器返回如下:
返回状态吗: 401 Unauthorized
返回头包含如下项:
WWW-Authenticate: Digest realm="example.com", domain="127.0.1.1:8080", qop="auth", nonce="ZDJlY2VhNGM4ZDM2NGE1OThjMDgxYmNjN2M3NzZjMzg6ZXhhbXBsZS5jb206NWY5YTYzNDI6Mg==", opaque="5ccc069c403ebaf9f0171e9517f40e41", algorithm="MD5", stale="FALSE"
* realm的值是一个简单的字符串
* qop是认证的(校验)方式
* nonce是随机数, 可以用GUID
* opaque是个随机字符串,它只是透传而已,即客户端还会原样返回过来。
* algorithm 是个字符串,用来指示用来产生分类及校验和的算法对,如果该域没指定,则认为是“MD5“算法。
  1. 浏览器弹出对话框,用户输入账号密码,浏览器重新发送请求:
请求头中包含以下项:
Authorization: Digest username="admin", realm="example.com", nonce="ZDJlY2VhNGM4ZDM2NGE1OThjMDgxYmNjN2M3NzZjMzg6ZXhhbXBsZS5jb206NWY5YTY1ZDE6Mw==", uri="/auth/digest/index.html", algorithm=MD5, response="b61a0ccfe37998ceb879a95431a715ab", opaque="5ccc069c403ebaf9f0171e9517f40e41", qop=auth, nc=00000002, cnonce="53d217b9fdb2fa44"
* 其中username是用户名
* cnonce是客户端生成的随机字符串
* nc是运行认证的次数
* response就是最终计算得到的摘要
  1. 认证成功服务器通过该访问,认证失败则重新认证
  • 摘要计算方式
在最开始的RFC 2069中规定response计算方法如下:
HA1 = MD5(username:realm:password)
HA2 = MD5(method:uri)
response = MD5(HA1:nonce:HA2)
  • 和基本认证比较
  1. 对请求信息进行了摘要,保证了密码的安全性。
  2. 认证中有随机数字字符串,保证了认证信息不是固定的和防止重放攻击。
  3. 使用较为复杂

表单认证

  • 基于表单的认证方式并不是HTTP规范,实现方式也呈现多样化。表单认证一般都会配合cookie+sessiond的使用,用户在登录页中填写用户名和密码,服务端认证通过后会将sessionId返回给浏览器端,浏览器会保存sessionId到浏览器的Cookie中。因为Http是无状态的,所以浏览器使用Cookie来保存sessionId。下次客户端发送的请求中会包含sessionId值,服务端发现sessionId存在并认证过则会提供资源访问。
  • 现在绝大多数的Web站点都是使用表单认证的方式。
leon.liao
关注
专栏目录
SMB 协议详解之-NTLM身份认证
村中少年的专栏
09-12 1049
介绍一下什么是NTLM协议,NTLM协议的交互过程,NTLM协议的实际利用案例
用户认证技术
Piwrim的博客
01-05 2587
用户用户组管理 AC核心是实现对与人的管理,所有对于用户用户组的管理必然是核心要素 组织结构 组织结构即为用户用户组的所属层级关系。 SANGFOR AC 提供树形的组织结构,通过树形用户结构管理,符合企业的人员结构划分,同时又可以对相同的上网策略进行继承。一个用户有一个直属父组。 通过此章节学习,我们将了解用户和组的添加,编辑,移动和删除等操作。 用户管理-组/用户:可以对用户进行增删改查 限制地址范围内登录:可以使账号只能在设置地址范围内的终端上登录,其他账号也可以在这地址范围内登录
HTTP认证方式
ice.k
06-29 245
HTTP请求报头: Authorization HTTP响应报头: WWW-Authenticate HTTP认证 基于 质询 /回应( challenge/response)的认证模式。 ◆ 基本认证 basic authentication   ← HTTP1.0提出的认证方法 客户端对于每一个realm,通过提供用户名和密码来进行认证的方式。 ※ 包含密码的...
HTTP常用认证方式
limeOracle的博客
09-23 556
引言 经常在工作中使用到了各种认证方式,但从未考虑过这些认证方式所属的知识范畴,同时也解释不清楚它们。 曾用到的认证方式(看看是否您也用过,但很难解释清楚他们): Basic认证(访问API时,浏览器会自动弹出一个对话框去输入用户名/密码) 用户名密码认证(进入站点主页前,需要在登陆页面输入用户名和密码,这种更专业的叫法为表单认证) openID Connect认证(用于第三方登陆认证,比如微信提供给简书的登录认证) Kerberos认证(一种用于Hadoop集群的客户端认证) 经过阅读《图解HTTP协议
EAP-PEAP&EAP;-TLS认证具体流程分析.docx
07-09
通过对EAP-PEAP与EAP-TLS两种认证方式的具体流程分析可以看出,它们都采用了TLS协议来确保认证过程的安全性。然而,两者在具体实现上存在差异:EAP-PEAP侧重于通过TLS隧道保护内部的EAP认证方法;而EAP-TLS则更加...
使用Wireshark分析-以太网帧与ARP协议-IP协议-ICMP-UDP协议-TCP协议-协议HTTP-DNS协议
热门推荐
CoutCodes的博客
06-19 3万+
深入理解网络协议,需要观察它们的工作过程并使用它们,即观察两个协议实体之间交换的报文序列,探究协议操作的细节,使协议实体执行某些动作,观察这些动作及其影响。
突破企业网络新边界-身份认证协议攻防.pdf
07-02
身份认证协议是为了验证用户身份、权限、所属网络组、可访问的资产等信息的安全机制。常见的身份认证协议包括Kerberos、OIDC、SAML等。这些协议的攻击面巨大且影响范围极广,攻击集权设施的核心在于协议层滥用。 ...
网络游戏-包过滤的网络协议用户认证方法.zip
09-19
网络游戏-包过滤的网络协议用户认证方法.zip
HTTP协议之基本认证
kobejayandy的专栏
03-17 1108
http协议是无状态的, 浏览器和web服务器之间可以通过cookie来身份识别。 桌面应用程序(比如新浪桌面客户端, skydrive客户端)跟Web服务器之间是如何身份识别呢?   阅读目录 什么是HTTP基本认证HTTP基本认证的过程HTTP基本认证的优点每次都要进行认证HTTP基本认证HTTPS一起使用就很安全HTTP OAuth认证其他认证客户端的使用   什么是HTTP基本
http认证方式(二)
JayInnn的博客
08-08 469
学习过程中,被boss批评,要求去复习http协议,因此找了相关资料做成一个系列;对于http认证方式不清楚的可以参考我的上一篇文章http认证方式(一)   事情的起因:内部的实现不是很清楚   使用Postman调试该接口,协议http,方法为post,请求内容以Json的格式给出: http认证的关键代码: validateUtil.checkSign(...
HTTP认证介绍(Basic基本认证和Digest摘要认证)和搭建windows HTTP服务器
mayue_web的博客
09-26 3518
HTTP认证是一种用于保护Web应用程序的一种身份验证机制。它通过在HTTP请求的头部添加认证信息,来验证用户的身份和权限。HTTP认证可以用于保护敏感信息,限制访问某些资源,或者在访问某些操作之前要求用户提供凭据。HTTP认证有几种不同的认证方式,包括:Basic认证:Basic认证是最常见的HTTP认证方式之一。在Basic认证中,客户端发送请求时,会在请求头中包含一个"Authorization"字段,该字段包含了经过Base64编码的用户名和密码。
HTTP认证方式
Destiny_shine的博客
02-20 895
什么是认证?     可以这样理解,服务器为了弄清楚究竟是谁在访问服务器,就得让对方的客户端自报家门,这个判断客户端身份的过程就是认证。   HTTP/1.1 使用的认证方式主要有哪些? 1、BASIC 认证(基本认证) 2、DIGEST 认证(摘要认证) 3、SSL 客户端认证 4、FormBase 认证(基于表单认证)   1、BASIC 认证(基本认证)     BASIC认证采用Base64编码方式对用户名和密码进行处理,但这不是加密,因为明文解码后就是用户 ID和密码。因此安全风险较高。 2、DI
HTTP 认证方式
最新发布
翔云
01-20 1322
本文主要介绍HTTP 认证方式有哪些及在Python中的基本使用方式。
Http认证Http的四种认证方式
吃货小跟班的博客
01-06 2万+
一、Http Basic Authentication 基本认证认证的信息填写到请求头,参考博客文章:二、Http Digest Authentication Digest认证以上这两种认证方式都是一种无状态的认证方式,就是不需要服务器端保存必要的session,所以也没有session失效期。客户端每次都需要将密码和用户名发送给服务器来完成认证,而且用户名和密码是保存在浏览器进程的内存中的,
python文件操作--用户认证
11-02
在Python中进行用户认证可以使用多种方式,其中一种是使用LDAP(轻量级目录访问协议)进行验证。在使用LDAP进行验证时,可以使用ldap模块来连接LDAP服务器,并使用simple_bind_s()方法对用户的密码进行验证。具体...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值