HTTP使用BASIC认证的原理及实现方法

最新推荐文章于 2024-05-21 10:06:45 发布
最新推荐文章于 2024-05-21 10:06:45 发布
阅读量6.6k 收藏 3
点赞数
分类专栏: JAVA

一.   BASIC认证概述

HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份证的方法,当一个客户端向HTTP服务 器进行数据请求时,如果客户端未被认证,则HTTP服务器将通过基本认证过程对客户端的用户名及密码进行验证,以决定用户是否合法。客户端在接收到HTTP服务器的身份认证要求后,会提示用户输入用户名及密码,然后将用户名及密码以BASE64加密,加密后的密文将附加于请求信息中, 如当用户名为anjuta,密码为:123456时,客户端将用户名和密码用合并,并将合并后的字符串用BASE64加密为密文,并于每次请求数据 时,将密文附加于请求头(Request Header)中。HTTP服务器在每次收到请求包后,根据协议取得客户端附加的用户信息(BASE64加密的用户名和密码),解开请求包,对用户名及密码进行验证,如果用 户名及密码正确,则根据客户端请求,返回客户端所需要的数据;否则,返回错误代码或重新要求客户端提供用户名及密码。

 

二.   BASIC认证的过程

1.  客户端向服务器请求数据,请求的内容可能是一个网页或者是一个其它的MIME类型,此时,假设客户端尚未被验证,则客户端提供如下请求至服务器:

Get /index.html HTTP/1.0
Host:www.google.com

2.  服务器向客户端发送验证请求代码401,服务器返回的数据大抵如下:

HTTP/1.0 401 Unauthorised
Server: SokEvo/1.0
WWW-Authenticate: Basic realm="google.com"
Content-Type: text/html
Content-Length: xxx

3.  当符合http1.01.1规范的客户端(如IEFIREFOX)收到401返回值时,将自动弹出一个登录窗口,要求用户输入用户名和密码。

4.  用户输入用户名和密码后,将用户名及密码以BASE64加密方式加密,并将密文放入前一条请求信息中,则客户端发送的第一条请求信息则变成如下内容:

Get /index.html HTTP/1.0
Host:www.google.com
Authorization: Basic xxxxxxxxxxxxxxxxxxxxxxxxxxxx

注:xxxx....表示加密后的用户名及密码。

5.  服务器收到上述请求信息后,将Authorization字段后的用户信息取出、解密,将解密后的用户名及密码与用户数据库进行比较验证,如用户名及密码正确,服务器则根据请求,将所请求资源发送给客户端:

 

三.         BASIC认证的缺点

HTTP基本认证的目标是提供简单的用户验证功能,其认证过程简单明了,适合于对安全性要求不高的系统或设备中,如大家所用路由器的配置页面的认证,几乎 都采取了这种方式。其缺点是没有灵活可靠的认证策略,如无法提供域(domainrealm)认证功能,另外,BASE64的加密强度非常低,可以说仅 能防止sohu的搜索把它搜到了。当然,HTTP基本认证系统也可以与SSL或者Kerberos结合,实现安全性能较高(相对)的认证系统

 

四.         BASIC认证的JAVA实现代码

 

HttpSession session=request.getSession();

         String user=(String)session.getAttribute("user");

         String pass;

         if(user==null){

             try{

                response.setCharacterEncoding("GBK");

                PrintWriter ut=response.getWriter();

                String authorization=request.getHeader("authorization");

                if(authorization==null||authorization.equals("")){

                    response.setStatus(401);

                    response.setHeader("WWW-authenticate","Basic realm=\"请输入管理员密码\"");

                    out.print("对不起你没有权限!!");

                    return;

                }

                String userAndPass=new String(new BASE64Decoder().decodeBuffer(authorization.split(" ")[1]));

                if(userAndPass.split(":").length<2){

                    response.setStatus(401);

                    response.setHeader("WWW-authenticate","Basic realm=\"请输入管理员密码\"");

                    out.print("对不起你没有权限!!");

                    return;

                }

                user=userAndPass.split(":")[0];

                pass=userAndPass.split(":")[1];

                if(user.equals("111")&&pass.equals("111")){

                    session.setAttribute("user",user);

                    RequestDispatcher dispatcher=request.getRequestDispatcher("index.jsp");

                    dispatcher.forward(request,response);

                }else{

                    response.setStatus(401);

                    response.setHeader("WWW-authenticate","Basic realm=\"请输入管理员密码\"");

                    out.print("对不起你没有权限!!");

                    return;

                }

             }catch(Exception ex){

                ex.printStackTrace();

             }

         }else{

             RequestDispatcher dispatcher=request.getRequestDispatcher("index.jsp");

             dispatcher.forward(request,response);

       }

 

MakeGreatEffort
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Authorization Basic认证 笔记
02-23 4035
Basic认证 Basic认证过程简单介绍 浏览器请求一个需要认证的网页。 服务器向浏览器返回“401 Unauthorized(未认证)”状态码。 浏览器收到此状态码后,询问用户名和密码。 浏览器发送附带认证信息(Authorization头信息)的请求。 本次请求得到了文档(用户名密码均正确的情况下)。 方案1: header 添加 Authorization 原理说明: string code = ‘fozzie:fozzie’ string base = base64(code) // bas
httpbasic 认证方式
wang0907的博客
04-28 2377
basic auth是一种http协议规范中的一种认证方式,即一种证明你就是你的方式。更进一步的它是一种规范,这种规范是这样子,如果是服务端使用basic auth认证方式来处理用户请求的话,会从header中获取的头信息,如果是没有该头信息或者是头信息不正确,则会返回401状态码,并添加响应头。如果是浏览器收到了服务端的401响应,并且判断有www-authenticate头信息的话则会弹出自带的用户名密码录入框让用户录入信息,用户录入后浏览器会对录入的信息按照格式。
Http协议的身份认证
swadian2008的博客
02-13 1266
目录 一、Basic基础认证 二、Digest摘要认证 三、SSL Client认证 四、HTTP 表单认证 HTTP提供了一套标准的身份验证框架:服务器可以用来针对客户端的请求发送质询(challenge),客户端根据质询提供身份验证凭证。质询与应答的工作流程如下:服务器端向客户端返回401(Unauthorized,未授权)状态码,并在WWW-Authenticate头中添加如何进行...
Basic Authorization基本认证
最新发布
Jack_software的专栏
05-21 558
Basic Authorization基本认证
php实现接口http协议中的Authorization Basic认证、调用
yan_dk的专栏
11-25 3079
我们应用API接口实现中通过Authorization Basic认证是比较常见的,下面谈谈使用php实现接口认证、调用的方法。 需求场景描述 应用系统API接口,需要通过Authorization Basic认证实现,接口方给客户端相应的密钥才能实现认证,并且客户端也通过Authorization Basic认证的调用来实现通信。 实现方法是,将http协议请求头中压入认证字符串,认证字符串可以以base64编码加密,格式如:Authorization:Basic base64_enco...
浅谈HTTP使用BASIC认证原理实现方法
09-01
本文将深入探讨BASIC认证原理以及如何在实际环境中实现这一机制。 一、BASIC认证概述 BASIC认证HTTP协议中的一种身份验证方法,它允许服务器在接收到未授权的请求时,要求客户端提供用户名和密码。当客户端...
java 发送带Basic Auth认证http post请求实例代码
09-01
在Java编程中,有时我们需要向HTTP...以上就是使用Java发送带Basic Auth认证HTTP POST请求的具体实现和相关知识点。注意在生产环境中,确保对敏感信息的处理符合安全标准,避免硬编码,并妥善管理HTTP客户端资源。
C#进阶系列 WebApi身份认证解决方案推荐:Basic基础认证
09-02
2. Basic认证原理Basic认证通过加密用户信息生成票据(Ticket),每次请求时携带该票据进行验证。具体步骤如下: - 用户登录时,验证用户名和密码,成功后用特定规则加密用户信息生成Ticket,返回给前端。 - ...
详解Spring Security中的HttpBasic登录验证模式
08-25
http.httpBasic() // 开启httpbasic认证 .and() .authorizeRequests() .anyRequest() .authenticated(); // 所有请求都需要登录认证才能访问 } } ``` **三、HttpBasic登录认证实现** 当使用HttpBasic模式...
golang的HTTP基本认证机制实例详解
09-21
- 如果`Authorization`头存在,代码会将其拆分为两部分:认证方法(例如`Basic`)和Base64编码的凭证字符串。接着,使用`base64.StdEncoding.DecodeString`解码凭证字符串,得到明文的`username:password`。 - ...
关于 Authorization: Basic 灵异事件
10-10 1065
这几天在研究 spring Security oauth 等相关的框架 参照例子进行配置,代码不描述,总之产生了下面的地址  有2个地址,分别使用以下方式登录:1: /app/oauth/token  -&gt; basic 2: /app/hi           -&gt; form 总共两种认证方式,分别是 basic,form 两种认证分开认证不同的账号体系,也不会公用(basic认...
restTemplate实现 authorization basic权限认证(带账号密码)
寒月孤星
09-01 9333
RestTemplate restTemplate = new RestTemplate(); //认证的账号和密码 String authentication = account+":"+pwd; HttpHeaders headers = new HttpHeaders(); //在请求头信息中携带Basic认证信息(这里才是实际Basic认证传递用户名密码的方式) headers.set("authorization", "Basic " + Base64.getEncod..
Basic Authorization 认证方法
weixin_34307464的博客
12-29 4084
Basic Authorization 认证核心就是每次请求是都必须使用该用户的uasename和password。 使用Basic Authorization认证有他的优点和缺点。优点在于开发调试简单,利于发起方控制等,缺点就是需要传递username和password,存在很大安全隐患;修改了账户名和密码需要重新校验等。如果需要使用B...
几种常用的Web安全认证方式
热门推荐
一只猿的自我修养
05-26 2万+
1. Http Basic Auth 这是一种最古老的安全认证方式,这种方式就是简单的访问API的时候,带上访问的username和password,由于信息会暴露出去,所以现在也越来越少用了,现在都用更加安全保密的认证方式,可能某些老的平台还在用。 如下图所示,弹出一个框,让你填写用户名密码。这就是Tomcat自带的HTTPBasic认证。 当用户名密码输入错误后,会返回401 Una...
OAuth 和 Basic Auth
晗炜的专栏
05-11 583
[b]HTTP Basic access authentication[/b] [url]http://en.wikipedia.org/wiki/Basic_access_authentication[/url] 以下转自:[url]http://www.cnblogs.com/wumao/archive/2011/04/21/2023332.html[/url] 概述:在web应用中,通...
php实现http协议中的Authorization Basic认证
xinu's note
09-01 1387
HTTP协议中的 身份认证 客户端发起请求,未携带Authorization头,服务端返回 401 Unauthorized及响应头 WWW-Authenticate: Basic告诉客户端以Basic方式进行身份验证,客户端会显示输入框,需要输入帐号密码,发起请求会携带Authorization: Basic base_encode(username:password),服务端进行鉴权。 php代码实现如下 <?php header("Content-Type: text/html; CharS
android http basic authorization,HTTP Authorization 之 Basic Auth
weixin_29022115的博客
05-28 449
HTTP 协议提供了一系列认证功能,这些功能只要在 HTTP Web Server 上配置即可,比较便捷。Basic Auth一、简介在HTTP中,基本认证(Basic access authentication)是一种用来允许网页浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。优点基本认证的一个优点是基本上所有流行的网页浏览器都支持基本认证。基本认证很少在可公开访...
springsecurity basic 认证
weixin_38927257的博客
07-06 1457
文章目录概念实例代码: 概念 Basic Access Authentication scheme是在HTTP1.0提出的认证方法,它是一种基于challenge/response的认证模式,针对特定的realm需要提供用户名和密码认证后才可访问,其中密码使用明文传输。 Basic 认证HTTP 中非常简单的认证方式,因为简单,所以不是很安全,不过仍然非常常用。 Basic模式认证过程如下: ①浏览器发送http报文请求一个受保护的资源。 ②服务端的web容器将http响应报文的响应码设为401,响应头部
Authorization:Basic
07-28
Authorization: BasicHTTP协议中的一种认证方式,用于在请求头中传递用户名和密码进行身份验证。\[1\]当浏览器请求一个需要认证的网页时,服务器会返回状态码"401 Unauthorized",表示未认证。浏览器收到该状态码后,会弹出一个对话框,要求用户输入用户名和密码。用户输入后,浏览器会将用户名和密码进行Base64编码,并在下一次请求中的Authorization头信息中附带认证信息。\[2\]服务器收到带有认证信息的请求后,会验证用户名和密码的正确性,如果验证通过,则返回请求的文档。\[2\]所以,Authorization: Basic是用于在HTTP请求中传递用户名和密码进行身份验证的一种方式。 #### 引用[.reference_title] - *1* *3* [HTTP使用BASIC认证原理实现方法](https://blog.csdn.net/cjw201231010314/article/details/100484492)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Authorization Basic认证 笔记](https://blog.csdn.net/swe_ling/article/details/123095501)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值