HTTP 基本认证、身份验证

已于 2024-06-18 16:16:17 修改
阅读量296 收藏
点赞数 1
分类专栏: 计算机网络 应用层 HTTP协议 文章标签: http
于 2023-07-02 11:15:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/131498637
版权

HTTP 提供一个用于权限控制和认证的通用框架。本页介绍了通用的 HTTP 认证框架,并且展示了如何通过 HTTP 的“Basic”模式限制对你服务器的访问。

 

通用的HTTP认证框架

RFC 7235 定义了一个 HTTP 身份验证框架,服务器可以用来质询(challenge)客户端的请求,客户端则可以提供身份验证凭据。

质询与响应的工作流程如下:

  1. 服务器端向客户端返回 401(Unauthorized,未被授权的)响应状态码,并在 WWW-Authenticate 响应标头提供如何进行验证的信息,其中至少包含有一种质询方式。
  2. 之后,想要使用服务器对自己身份进行验证的客户端,可以通过包含凭据的 Authorization 请求标头进行验证。
  3. 通常,客户端会向用户显示密码提示,然后发送包含正确的 Authorization 标头的请求。

警告: 上图使用的“Basic”身份验证方案会对凭据进行编码,但是并不会进行加密。除非信息交换通过安全的连接(HTTPS/TLS),否则这件事极其不安全的。

对于资源的权限认证,是由服务器给到浏览器一种输入用户名和密码的方式。

基本流程是客户端到浏览器发起了一个请求。服务器告诉客户端你需要输入用户名和密码。

告诉的方式通过传递www-authenticate这样一个头部,这个头部里面有相关的消息,返回码是401,当浏览器受到这样的响应之后就会弹出对话框,几乎所有的浏览器都实现了这样一个功能,那么就可以在对话框中输入用户名和密码。

这个用户名密码会以base64位的编码方式传递给服务器。服务器进行校验,校验通过了就会返回200,不通过推荐返回403。

传输都是明文的,都是base64,这样就可以反推回原来的用户名和密码。通常做验证的时候应该基于TLS和SSL,否则就会有安全问题,密码就会被别人看到了。 

传入的头部Authorization,里面是用户名和密码。实际中采用的是用户名:密码的格式,按照dd:ee格式编码之后得到新的token表示用户名和密码。

这里可以看到做了编码和解码。如果是代理服务器认证就会传递 Proxy-Authorization = credentials,和上面是相似的。

认证响应回返回www-authentoicate,在challenge中包含两个部分,第一个是蓝色的部分auth-scheme,告诉浏览器基于基本认证www_authenticate:Basic realm="test auth_basic",然后弹出对话框。

富士康质检员张全蛋
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP认证基本认证
Ghosind
10-30 2178
简单介绍HTTP协议中的基本认证(Basic Authentication)。
HTTP 中的用户身份验证
热门推荐
zwkkkk1的博客
08-29 1万+
  身份验证是判断客户端是否有资格访问资源的过程。HTTP 协议支持将身份验证作为协商访问安全资源的一种方式。   来自客户端的初始请求通常是匿名请求,不包含任何身份验证信息。 HTTP 服务器应用程序可以拒绝匿名请求,而同时指示必须进行身份验证。   服务器应用程序发送 WWW-Authentication 头来指示受支持的身份验证方案。 HTTP/1.1 使用认证方式如下: BAS...
golang的HTTP基本认证机制实例详解
09-21
主要介绍了golang的HTTP基本认证机制,结合实例形式较为详细的分析了HTTP请求响应的过程及认证机制实现技巧,需要的朋友可以参考下
HTTP协议之基本认证
kobejayandy的专栏
03-17 1091
http协议是无状态的, 浏览器和web服务器之间可以通过cookie来身份识别。 桌面应用程序(比如新浪桌面客户端, skydrive客户端)跟Web服务器之间是如何身份识别呢?   阅读目录 什么是HTTP基本认证HTTP基本认证的过程HTTP基本认证的优点每次都要进行认证HTTP基本认证HTTPS一起使用就很安全HTTP OAuth认证其他认证客户端的使用   什么是HTTP基本
http协议
shuhuai007的专栏
11-07 668
简介   园子里已经有不少介绍HTTP的的好文章。对HTTP的一些细节介绍的比较好,所以本篇文章不会对HTTP的细节进行深究,而是从够高和更结构化的角度将HTTP协议的元素进行分类讲解。   HTTP的定义和历史   在一个网络中。传输数据需要面临三个问题:   1. 客户端如何知道所请求内容的位置?   2. 当客户端知道所请求内容的位置后,如何获取所请求的内容?
ctfhub-HTTP协议-基础认证
m0_62094846的博客
11-07 284
但抓不了包,但我看很多人wp都是可以的 只能在这个页面抓包了,再自己添加这一段 如果乱添加一通的话,会显示Douknowadmin,可能表示用户名是admin,字典上也只是给了密码,所以账号已知 Authorization:Basic是固定格式 后一段表示 用户名:密码 接下来爆破 下面的和之前的有些不一样,因为密码要编码成base64 添加前缀和编码方式 取消勾选,否则,=会被转为%3d (12条消息) Burp S...
用户或计算机身份验证,HTTP基本身份认证
weixin_36212959的博客
06-26 805
原标题:HTTP基本身份认证HTTP请求报头: AuthorizationHTTP响应报头: WWW-AuthenticateHTTP认证是基于质询/回应(challenge/response)的认证模式基本认证basic authentication(HTTP1.0提出的认证方法)基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。把 "用...
PowerBI自定义身份验证配置和部署
07-20
PowerBI自定义身份验证配置和部署
PHP中基本HTTP认证技巧分析
10-24
主要介绍了PHP中基本HTTP认证技巧,实例分析了HTTP身份验证的原理与实现方法,具有一定参考借鉴价值,需要的朋友可以参考下
s3auth:Amazon S3 HTTP基本身份验证网关
02-04
您将能够使用HTTP基本身份验证在浏览器中访问存储桶的内容。 您可以使用Amazon IAM凭据以及.htpasswd文件(类似于Apache HTTP Server)中的自定义用户/密码对访问存储桶。 例如,尝试 (使用用户名s3auth和密码s3...
go-http-auth:golang http基本和摘要HTTP身份验证
05-04
特征支持HTTP基本HTTP摘要身份验证。 支持htpasswd和htdigest格式的文件。 自动重新加载密码文件。 用于用户/密码存储的可插拔接口。 支持MD5,SHA1和BCrypt进行基本身份验证密码存储。 具有到期时间的可配置摘要...
了解 HTTP 身份验证
枫叶的专栏
03-06 1181
了解 HTTP 身份验证 .NET Framework 4 其他版本 此主题尚未评级 评价此主题 身份验证是判断客户端是否有资格访问资源的过程。HTTP 协议支持将身份验证作为协商访问安全资源的一种方式。 来自客户端的初始请求通常是匿名请求,不包含任何身份验证信息。HTTP 服务器应用程序可以拒绝匿名请求,而同时指示必须
http协议认证方式
wangxing8282的博客
04-18 547
HTTP Basic认证 每次客户端请求都需带上Authorization请求头, 值为"Basic xxx"。xxx为对用户名和密码进行Base64编码后的值。 若客户端是浏览器,则浏览器会提供一个输入用户名和密码的对话框,用户输入用户名和密码后,浏览器会保存用户名和密码,用于构造Authorization值。当关闭浏览器后,用户名和密码将不再保存。 用户名/密码经过Base64加码后,这个...
HTTP认证方案
最新发布
why811的博客
08-07 1183
若算法是:MD5 或者是未指定则 A1= <username>:<realm>:<passwd>若 qop 未定义或者 auth:则 A2= <request-method>:<digest-uri-value>若 qop 为 auth若 qop 没有定义http Digest认证计算方法整理_TYINY的博客-CSDN博客要想发送推送通知,需要使用 VAPID 协议。
HTTP I 认证用户身份的四种方法
该用户还没想到好的昵称的博客
10-26 2707
目录 一、BASIC认证基本认证) 二、DIGEST认证(摘要认证) 三、SSL客户端认证 四、FormBase认证(基于表单认证认证用户身份时,核对的信息通常是指以下这些: 密码:只有本人才会知道的字符串信息。 动态令牌︰仅限本人持有的设备内显示的一次性密码。 数字证书:仅限本人(终端)持有的信息。 生物认证:指纹和虹膜等本人的生理信息。 IC 卡等:仅限本人持有的信息。 HTTP使用的认证方式有一下几种:BASIC认证基本认证)、DIGEST认证(摘要认证)、SSL客户端认证
nagios自带插件check_http详解及用法实例
weixin_34112208的博客
12-06 522
作用: 检测指定主机上的http服务,可以是http或者https,可以重定向,查找字符串,正则表达式,检测链接次数,证书过期时间。 用法: check_http-H<vhost>|-I<IP-address>[-u<uri>][-p<port>] [-w<warnti...
Spring Security系列教程04--实现HTTP基本认证
一一哥
09-07 2230
一. Spring Security的认证方式 1. 认证概念 认证: 认证就是用来判断系统中是否存在某用户,并判断该用户的身份是否合法的过程,解决的其实是用户登录的问题。认证的存在,是为了保护系统中的隐私数据与资源,只有合法的用户才可以访问系统中的资源。 2. 认证方式 在Spring Security中,常见的认证方式可以分为HTTP层面和表单层面,常见的认证方式如下: ①. HTTP基本认证; ②. Form表单认证 ③. HTTP摘要认证; 二. HTTP基本认证 1. 基本认证概述
鲜为人知的HTTP协议头字段详解大全「原创」
weixin_34212762的博客
03-24 429
继上篇讲了HTTP协议的基础之后,本篇重点介绍一下HTTP常用的Header。 HTTP Header非常之多,很少有人能完全分清这些Header到底是干什么的。鉴于RFC文件规范艰深晦涩难懂,本文对协议规范中列出的HTTP Header进行了梳理,用通俗的语言进行表达,便于读者吃透HTTP协议。 作者在阅读RFC文档的时候发现了很多以前没注意到的知识,估计做web开发的小伙伴们也大多忽视了这些知...
HTTP认证介绍(Basic基本认证和Digest摘要认证)和搭建windows HTTP服务器
mayue_web的博客
09-26 2816
HTTP认证是一种用于保护Web应用程序的一种身份验证机制。它通过在HTTP请求的头部添加认证信息,来验证用户的身份和权限。HTTP认证可以用于保护敏感信息,限制访问某些资源,或者在访问某些操作之前要求用户提供凭据。HTTP认证有几种不同的认证方式,包括:Basic认证:Basic认证是最常见的HTTP认证方式之一。在Basic认证中,客户端发送请求时,会在请求头中包含一个"Authorization"字段,该字段包含了经过Base64编码的用户名和密码。
Apache HttpClient基本身份验证示例
05-21
以下是一个使用Apache HttpClient进行基本身份验证的示例代码: ```java import org.apache.http.HttpEntity; import org.apache.http.HttpHost; import org.apache.http.auth.AuthScope; import org.apache....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值