详解HTTP摘要认证

最新推荐文章于 2022-10-12 10:14:42 发布
VIP文章 最新推荐文章于 2022-10-12 10:14:42 发布
阅读量1.7k 收藏 5
点赞数
分类专栏: JAVA学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26941173/article/details/100175171
版权

典型的认证过程

  • 客户端请求一个需要认证的页面,但是不提供[用户名]和[密码]。通常这是由于用户简单的输入了一个地址或者在页面中点击了某个[超链接]。

  • 服务器返回[401] “Unauthorized” 响应代码,并提供认证域(realm),以及一个随机生成的、只使用一次的数值,称为[密码随机数 nonce]。

  • 此时,浏览器会向用户提示认证域(realm)(通常是所访问的计算机或系统的描述),并且提示用户名和密码。用户此时可以选择取消。

  • 一旦提供了用户名和密码,客户端会重新发送同样的请求,但是添加了一个认证头包括了响应代码。

  • 在这个例子中,服务器接受了认证并且返回了请求页面。如果用户名非法和/或密码不正确,服务器将返回"401"响应代码,然后客户端会再次提示用户输入用户名及密码。

  • 客户端请求 (无认证)

GET /dir/index.html HTTP/1.0
Host: localhost
  • 服务器响应
HTTP/1.0 401 Unauthorized
Server: HTTPd/0.9
Date: Sun, 10 Apr 2005 20:26:47 GMT
WWW-Authenticate: Digest realm="[email protected]",
                        qop="auth,auth-int",
                        nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
                        opaque="5ccc069c403ebaf9f0171e9517f40e41"
Content-Type: text/html
Content-Length: 311

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
 "http://www.w3.org/TR/1999/REC-html401-19991224/loose.dtd">
<HTML>
  <HEAD>
    <TITLE>Error</TITLE>
    <META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-1">
  </HEAD>
  <BODY><H1>401 Unauthorized.</H1></BODY>
</HTML>
  • 客户端请求 (用户名 “Mufasa”, 密码 “Circle Of Life”)
GET /dir/index.html HTTP/1.0
Host: localhost
Authorization: Digest username="Mufasa",
                     realm="[email protected]",
                     nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
                     uri="/dir/index.html",
                     qop=auth,
                     nc=00000001,
                     cnonce="0a4f113b",
                     response="6629fae49393a05397450978507c4ef1",
                     opaque
最低0.47元/天 解锁文章
静水流深之鑫
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
node.js简单的实现http摘要验证
11-09
使用node.js实现http摘要认证的实例
WebApi接口安全认证——HTTP摘要认证
Mars Huang
09-17 3721
摘要访问认证是一种协议规定的Web服务器用来同网页浏览器进行认证信息协商的方法。它在密码发出前,先对其应用哈希函数,这相对于HTTP基本认证发送明文而言,更安全。从技术上讲,摘要认证是使用随机数来阻止进行密码分析的MD5加密哈希函数应用。它使用HTTP协议。 一、摘要认证基本流程: 1.客户端请求 (无认证)` GET /dir/index.html HTTP/1.0 Host: localhos...
爆破专栏丨Spring Security系列之实现HTTP摘要认证
关注我!带你一路 "狂飙" 到底!
10-25 265
前言 在前面的2个章节中,一一哥带大家认识了Spring Security中的第基本认证与表单认证2种认证方式,其中表单认证是Spring Security默认的认证方式,也是开发时最常用的认证方式。有的小伙伴会问,不是还有第3种认证方式吗?对的,还有第三种摘要认证方式!在本文中,我们来学习了解一下HTTP摘要认证。 但是对于摘要认证,我们仅做了解即可,因为这种认证方式仅比基本认证稍微安全一点,开发时用的也不是很多。抱着技多不压身的心态,我们多了解一点反正也没坏处。 需要更多教程,微信扫码即可 ..
详解HTTP中的摘要认证机制
热门推荐
tenfyguo的技术专栏
03-11 3万+
在上一期http://blog.csdn.net/tenfyguo/article/details/6167190中笔者较为详细的介绍了HTTPBasic认证在apache下的配置,通过简单的实验演示了HTTP Basic认证的基本原理。        但是,聪明的读者很快可以发现,这种认证方式是存在很多缺陷的,具体表现如下: 1,  Basic认证会通过网络发送用户名和密码,并且是以base
前端学HTTP摘要认证
weixin_33736048的博客
12-17 160
前面的话   上一篇介绍的基本认证便捷灵活,但极不安全。用户名和密码都是以明文形式传送的,也没有采取任何措施防止对报文的篡改。安全使用基本认证的唯一方式就是将其与SSL配合使用   摘要认证与基本认证兼容,但却更为安全。本文将详细介绍绍摘要认证的原理和实际应用   工作原理   摘要认证是另一种HTTP认证协议,它试图修复基本认证协议的严重缺陷。具体来说,摘要认证进行了如下改进:永远不会...
HTTP认证方式之DIGEST 认证摘要认证
LZHH_2008的博客
10-12 5292
DIGEST 认证摘要认证
Http协议(5)—HTTP摘要认证
02-15 2484
一、摘要认证的改进         1.用摘要保护密码             客户端不发送密码,而是发送一个摘要,服务端只需验证这个摘要是否和密码相匹配                  2.单向摘要             a.摘要是一种单向函数,将无限的输入值转化为有限的             b.常见的摘要为MD5:
http摘要认证
weixin_30535043的博客
08-20 118
摘要认证的握手过程 1, 第一次客户端请求的时候,服务器产生一个随机数nonce,服务器将这个随机数放在WWW-Authenticate响应头,与服务器支持的认证算法列表,认证的域realm一起发送给客户端,如下例子: HTTP /1.1 401 Unauthorized WWW-Authenticate:Digest realm= ”test realm” qop=auth,auth...
PHP HTTP 认证实例详解
10-21
主要介绍了PHP HTTP 认证实例详解的相关资料,这里附有实现代码,及对认证的知识做一个详细的介绍说明,需要的朋友可以参考下
golang的HTTP基本认证机制实例详解
09-21
主要介绍了golang的HTTP基本认证机制,结合实例形式较为详细的分析了HTTP请求响应的过程及认证机制实现技巧,需要的朋友可以参考下
HTTP协议详解视频课程
10-14
HTTP协议详解》教学视频由孙鑫老师主讲并录制
详解Spring Security认证流程
08-25
主要介绍了Spring Security认证流程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
HTTP 摘要认证
hsstc的专栏
09-25 1114
Basic认证方式是存在很多缺陷的,具体表现如下: 1,  Basic认证会通过网络发送用户名和密码,并且是以base64的方式对用户名和密码进行简单的编码后发送的,而base64编码本身非常容易被解码,所以经过base64编码的密码实际上是明文发送的。 2,  即使密码是经过加密传输的,当第三方用户仍然可以捕获被修改过的用户名和密码,并将修改过的用户名和密码反复多次的重放给原始服务器,以获得
HTTP摘要认证
zbl_zbl的专栏
05-27 879
摘要访问认证是一种协议规定的Web服务器用来同网页浏览器进行认证信息协商的方法。它在密码发出前,先对其应用哈希函数,这相对于HTTP基本认证发送明文而言,更安全。 从技术上讲,摘要认证是使用随机数来阻止进行密码分析的MD5加密哈希函数应用。它使用HTTP协议。 目录   1 概述 2 MD5 安全问题对摘要认证的影响 3 HTTP摘要认证的考虑 3.1 优势 3.2 劣势 3.3
HTTP摘要认证方式分析与验证
haoyifen的专栏
10-04 357
使用tomcat自己创建了一个网页. http://218.197.239.47:8080/First/MyHtml.html 进行了权限设置,使用摘要验证,用户名(root)和密码(admin),输入提示"Test DIGEST" 成功验证后,我们查看响应头和请求头信息如下所示: 其中最重要的信息为请求头中的Authentication首部: ...
HTTP权威指南》第十三章学习总结--摘要认证
weixin_41400449的博客
06-22 356
**定个小目标,吃透这本书,每天最少一章 CSDN 见** 摘要认证的改进 摘要认证是一种HTTP认证协议,它试图修复基本认证协议的验证缺陷。 它进行了如下改正: 永远不会以明文方式在网络上发送密码 可以防止恶意用户捕获并重放认证的握手过程。 可以有选择的防止对报文内容的篡改 防止其他几种创建的攻击方式。 下面是摘要认证的密码保护 常见的摘要函数MD5,会将任意长度字节序转换为一个128位的摘要,通常被写成32个十六进制的字符。这样的算法是不可逆的。 摘要认证的可信就是对公共信息,报名信息和有限的..
HTTP 认证:基本认证摘要认证
Gnahzi
09-26 812
平时我们浏览网站时要登录的话需要提供帐号和密码以便验证身份,同理 HTTP 认证也是如此,但客户端需要访问服务器获取私人资源的话,就需要提供信息身份证明给服务器验证,验证通过才返回资源。 HTTP 官方定义了 2 个协议:基本认证(basic authentication)和摘要认证(digest authentication)。 一、基本认证 基本认证是目前最流行的 HTTP 认证协议,于 HTTP/1.0 规范中提出。基本认证过程中,服务器可以拒绝一个事务,质询客户端要求提供用户名和密码,服务器会返回
HTTP认证摘要认证——Digest(一)
weixin_30449239的博客
06-24 452
导航 HTTP认证之基本认证——Basic(一) HTTP认证之基本认证——Basic(二) HTTP认证摘要认证——Digest(一) HTTP认证摘要认证——Digest(二) 一、概述 Digest认证是为了修复基本认证协议的严重缺陷而设计的,秉承“绝不通过明文在网络发送密码”的原则,通过“密码摘要”进行认证,大大提高了安全性。 相对于基本认证,主要有如下改进: 绝不通过明文在...
java对象之间赋值详解
静水流深
03-29 1万+
赋值是用等号运算符(=)进行的。它的意思是“取得右边的值,把它复制到左边”。右边的值可以是任何常数、变量或者表达式,只要能产生一个值就行。但左边的值必须是一个明确的、已命名的变量。也就是说,它必须有一个物理性的空间来保存右边的值。举个例子来说,可将一个常数赋给一个变量(A=4;),但不可将任何东西赋给一个常数(比如不能4=A)。         对主数据类型的赋值是非常直接的。由于主类型容纳了实
springsecurity多种认证详解
最新发布
06-02
Spring Security是一个功能强大且灵活的认证和授权框架,支持多种认证方式。下面是Spring Security支持的一些常见认证方式: 1. 基于表单的认证:用户通过表单填写用户名和密码进行认证。 2. 基于HTTP Basic认证:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值