HTTP认证(实际使用较少)
HTTP提供了一个用于权限控制和认证的通用方式,这种认证方式通过HTTP请求头来提供认证信息,而不是通过表单登录。最熟知的应该是HTTP Basic authentication,另外还有一种相对更安全的HTTP Digest authentication。
10.1HTTP Basic authentication
10.1.1简介
HTTP Basic authentication中文译作HTTP基本认证,在这种认证方式中,将用户的登录用户名/密码经过base64编码之后,放在请求头的
Authorization
字段中,从而完成用户身份的认证。
当客户端发起一个请求之后,服务端可以针对该请求返回一个质询信息,然后客户端再提供用户的凭证信息。
HTTP基本认证流程:
首先客户端(浏览器)发起请求,类似于:
GET /hello HTTP/1.1
Host: localhost:8080
服务端收到请求后,发现用户还没有认证,于是给出如下响应:
HTTP/1.1 401
WWW-Authenticate: Basic realm="Realm"
状态码
401
表示用户未认证,WWW-Authenticate
响应头则定义了使用何种验证方式去完成身份认证。最简单、最常见的就是使用的HTTP基本认证,除了这种认证方式外,还有Bearer(OAuth2.0认证)、Digest(HTTP摘要认证)等取值。
客户端收到服务端的响应之后,将用户名/密码使用base64编码之后,放在请求头中,再次发起请求:
GET /hello HTTP/1.1
Host: localhost:8080
Authorization: Basic amF2YWJveToxMjM=
服务端解析
Authorization
字段,完成用户身份的校验,最后将资源返回给客户端:
HTTP/1.1 200
Content-Type: text/html;charset=UTF-8
Content-Length: 16
可以看到,这种认证方式实际上非常简单,基本上所有的浏览器都支持这种认证方式。但是在实际应用中,很少见到这种认证方式,主要还是安全问题。
HTTP基本认证没有对传输的凭证信息进行加密,仅仅只是进行了base64编码,这就造成了很大的安全隐患,所以如果用到了HTTP基本认证,一般都是结合HTTPS一起使用;同时,一旦使用HTTP基本认证成功后,除非用户关闭浏览器或者清空浏览器缓存,否则没有办法退出登录。