介绍Basic和Digest

最新推荐文章于 2024-07-08 20:52:16 发布
最新推荐文章于 2024-07-08 20:52:16 发布
阅读量5.1k 收藏 3
点赞数 1
分类专栏: 算法 文章标签: 加密

Http Basic Digest 认证

汇总几篇讲http basic 和 digest的文章。

1. 基本原理介绍

2. 相关实验

  • http认证(一) - Basic 认证: http://robblog.iteye.com/blog/554450。该文讲解了如何在Tomcat中配置Basic认证以及如何用Firebug来查看Basic认证的Request和Response
  • http认证(二) - DIGEST 认证: http://robblog.iteye.com/blog/556436。该文讲解了如何在Tomcat中配置Digest认证以及如何用Firebug来查看Digest认证的Request和Response

需要注意的是:上面两篇文章中的web.xml配置有一点问题,漏掉了在web.xml配置security-role这个节点。请参阅这篇文章:http://www.thecoderscorner.com/team-blog/16-hosting-servers/17-setting-up-role-based-security-in-tomcat#.UPfKH6PQNh8里面有完整的web.xml的例子。

 

 

 

介绍Basic和Digest

http协议并没有定义相关的安全认证方面的标准,所以就有了Basic and Digest Access Authentication的定义来补充,它的目的就是补充一套基于http服务端的认证机制,保护相关的资源避免被非法用户访问,如果你要访问被保护的资源,则必需要提供合法的用户名和密码。

和https有什么关联?

basic & digest auth 和 https 没有任何关系。前者是为用户认证机制,后者是信息通道加密措施。

basic 和 digest有什么区别?

digest是basic的升级版,更加安全。因为basic是明文传输密码信息,而digest是加密后传输。

digest就是绝对安全的吗?

首先,这个世界上没有绝对的东西。digest默认用MD5(其它算法也可以)对密码进行加密,虽然相比basic认证的明文传输更安全,但是加密算法本身的安全性也值得怀疑(md5是可以反推出原文的)。再者,digest只是对认证信息的加密,后续的内容传输安全性得不到保障。所以https机制的作用就显现出来。

通过上面的相关信息,我们可以得到一个清晰的结论:如果你想加强自己的认证信息的保护,有两种选择,一是基于digest认证;别一种是在https通道上进行basic认证。

basic和digest认证流程

1,客户端请求受保护的资源
2,服务器检测到没有授权,则生成一个challenge返回给客户端
3,客户端根据challenge和相关信息计算出digest
4,附带3计算出的信息再次请求1中的资源
5,服务端根据已知的用户密码信息计算出digest并与4中请求的digest比较验证
6,服务端验证通过后返回资源给合法用户

Basic和Digest的认证都是按照上面的流程来,唯一不同的是3和5中计算digest的算法不同:Basic是将密码直接base64编码(明文),而Digest是用MD5进行加密后传输。

下面假设我们现在要请求:http://localhost:8080/index.html 这个路径,而它需要认证后才能访问。


Basic的流程如下:

  1. 在浏览器请求:http://localhost:8080/index.html
  2. 服务器返回401(unauthentication)代码,并附带一个包含challenge的头,格式如下:WWW-Authenticate    Basic realm="Admin All"
  3. 浏览器用:base64(username:password) 编码后的信息添加到请求头中再次请求1中的资源,如果用户名是tomcat,密码是tomcat,则base64(tomcat:tomcat)为(dG9tY2F0OnRvbWNhdA==)。所以头信息为:Authorization    Basic dG9tY2F0OnRvbWNhdA==
  4. 用3中计算的请求头信息再次请求1中的资源
  5. 服务器用3中相同的算法(base64)验证用户密码合法性
  6. 返回index.html的资源

Digest的流程和上面一样,只是challenge和digest的生成算法不同

  1. 在浏览器请求:http://localhost:8080/index.html
  2. 服务器返回401(unauthentication)代码,并附带一个包含challenge的头,格式如下:WWW-Authenticate    Digest realm="Admin All", qop="auth", nonce="1354760194666:4465c7b1921b6d769fd359e5152c453f", opaque="EE9C283E89AFB63E7FF6E2C04C524807"
  3. 浏 览器用MD5编码后的信息添加到请求头中再次请求1中的资源,如果用户名是tomcat,密码是tomcat,则生成的头信息:Authorization    Digest username="tomcat", realm="Admin All", nonce="1354760194666:4465c7b1921b6d769fd359e5152c453f", uri="/web/index.html", response="8d30e6438636fe21c6045246dd034372", opaque="EE9C283E89AFB63E7FF6E2C04C524807", qop=auth, nc=00000001, cnonce="9201a828891792b9"
  4. 用3中计算的请求头信息再次请求1中的资源
  5. 服务器用3中相同的算法(base64)验证用户密码合法性
  6. 返回index.html的资源

这里我们只是讨论流程,具体的challenge和digest的生成算法请参考:RFC2617

 

嵌入式linux
关注
专栏目录
python pycurl验证basicdigest认证的方法
09-20
通过mod_auth_basic和mod_auth_digest模块,可以开启相应的认证方式,并通过配置文件指定用户认证文件的位置。这种方式常用于服务器端的身份验证配置。 最后,本文提到的pycurl模块类似于Python内置的urllib库,...
关于basic认证和digest认证的初步理解
热门推荐
zjf535214685的博客
07-31 1万+
1.  basic认证是把用户和密码通过base64加密后发送给服务器进行验证 2.  digest认证则是把服务器响应的401消息里面的特定的值和用户名以及密码结合起来进行不可逆的摘要算法运算得到一个值,然后把用户名和这个摘要值发给服务器,服务通过用户名去 在自己本地找到对应的密码,然后进行同样的摘要运算,再比较这个值是否和客户端发过来的摘要值一样。 TTP协议规范的另一种认证模式是Dige...
HTTP认证介绍(Basic基本认证和Digest摘要认证)和搭建windows HTTP服务器
mayue_web的博客
09-26 3749
HTTP认证是一种用于保护Web应用程序的一种身份验证机制。它通过在HTTP请求的头部添加认证信息,来验证用户的身份和权限。HTTP认证可以用于保护敏感信息,限制访问某些资源,或者在访问某些操作之前要求用户提供凭据。HTTP认证有几种不同的认证方式,包括:Basic认证:Basic认证是最常见的HTTP认证方式之一。在Basic认证中,客户端发送请求时,会在请求头中包含一个"Authorization"字段,该字段包含了经过Base64编码的用户名和密码。
HTTP认证模式:Basic & Digest
Enweitech Software Works
04-23 2728
引言 经常在工作中使用到了各种认证方式,但从未考虑过这些认证方式所属的知识范畴,同时也解释不清楚它们。 曾用到的认证方式(看看是否您也用过,但很难解释清楚他们): Basic认证(访问API时,浏览器会自动弹出一个对话框去输入用户名/密码) 用户名密码认证(进入站点主页前,需要在登陆页面输入用户名和密码,这种更专业的叫法为表单认证) openID Connect认证(用于第三方登陆认证,...
HTTP BasicDigest认证介绍与计算
诗筱涵的博客
09-11 1028
转载自:HTTP BasicDigest认证介绍与计算 - 诸子流 - 博客园 HTTP BasicDigest认证介绍与计算 一、说明 web用户认证,最开始是get提交+把用户名密码存放在客户端的cookie中的形式;在意识到这样不安全之后逐渐演变成了post提交+把用户凭证放到了服务端的session中的形式(当然sessionid还在cookie中)。 不过其实最初给http设计的认证方式,既不是“get+cookie”也不是“post+session”,而是BasicDigest.
海康威视相机 RTSP 传输延迟解决方案
qq_30024063的博客
07-17 5136
不同的模式认证需要携带的信息不同,携带信息可参看具体协议,basic认证信息较简单,如果网络安全要求较高,建议选择除basic外的认证方式。:除了用户名和密码,还要进行二次验证(从安全性上, diges优于basic)可以通过http://10.200.7.203(录像机ip)网页访问设备,在。:RTSP取流时,需在路径里输入用户名和密码。配置-系统-安全管理-认证方式。将 RTSP 认证方式改为。将 RTSP 认证方式改为。
Onvif编译及开发(带wsse鉴权和digest鉴权)
08-23
本教程将深入探讨如何进行ONVIF编译与开发,包括使用gSOAP工具处理SOAP消息,以及实现WSSE(Web Services Security Extensions,Web服务安全扩展)和DIGEST鉴权机制。 首先,让我们了解gSOAP。gSOAP是一个开源C和...
express-3.x-http-basic-and-digest-example:Express 3.x应用程序使用Passport通过HTTP BasicDigest方案进行身份验证
05-15
本示例演示如何使用 3.x和通过HTTP Basic或HTTP Digest方案对用户进行身份验证。 使用此示例作为您自己的Web应用程序的起点。 指示 要在您的计算机上安装此示例,请克隆存储库并安装依赖项。 $ git clone git@...
模拟Digest认证的登录demo
01-15
服务器返回401响应时,通常会包含一个WWW-Authenticate头,指示客户端应该使用哪种类型的认证机制,如BasicDigest等。 Digest认证是一种比Basic认证更安全的认证方式,因为它不直接发送明文密码。它基于哈希函数...
CODES_visualbasic_
09-29
- 哈希函数:如MD5(Message-Digest Algorithm 5)、SHA-1/2(Secure Hash Algorithm),常用于数据校验和密码存储。 - 流加密:如RC4(Rivest Cipher 4),快速且适合大量数据加密。 2. **压缩/解压算法**: - ...
java 加密 Digest EnCrypt 加密与解密
雨一直下、、
07-20 1万+
package digest;import java.security.MessageDigest; import java.security.NoSuchAlgorithmException;import javax.crypto.Cipher; import javax.crypto.KeyGenerator; import javax.crypto.SecretKey;import org.a
Http协议的身份认证
swadian2008的博客
02-13 1385
目录 一、Basic基础认证 二、Digest摘要认证 三、SSL Client认证 四、HTTP 表单认证 HTTP提供了一套标准的身份验证框架:服务器可以用来针对客户端的请求发送质询(challenge),客户端根据质询提供身份验证凭证。质询与应答的工作流程如下:服务器端向客户端返回401(Unauthorized,未授权)状态码,并在WWW-Authenticate头中添加如何进行...
Basic and Digest Access Authentication (rfc2617) 及HttpClient实现
weixin_30399821的博客
12-11 446
介绍BasicDigest http协议并没有定义相关的安全认证方面的标准,所以就有了Basic and Digest Access Authentication的定义来补充,它的目的就是补充一套基于http服务端的认证机制,保护相关的资源避免被非法用户访问,如果你要访问被保护的资源,则必需要提供合法的用户名和密码。 和https有什么关联? basic & digest...
常见的认证方式
最新发布
Shoulen的博客
07-08 2354
介绍常用的认证方式 BasicDigest、OAuth、Bearer,包括 OAuth常用模式、JWT Token 等
http协议之digest(摘要)认证,详细讲解并附Java SpringBoot源码
一火的专栏
12-04 6999
http协议之digest(摘要)认证,详细讲解并附Java SpringBoot源码
【数据加密】对称加密,非对称加密,摘要加密。三种加密方式的解释以及用途。Java代码实现SM3,SM4,AES,DES工具类
qq_60969145的博客
04-23 1167
意思:摘要加密实际上并不属于传统意义上的加密,因为它不可逆,即从摘要不能还原出原始信息。它将任意长度的输入(消息)转换为固定长度的输出(摘要或哈希值),目的是验证数据的完整性和唯一性。解释:哈希函数具有抗碰撞性,即不同输入很难得到相同的输出。即便输入信息只改变一点点,输出的哈希值也会完全不同。这种特性使得摘要加密非常适合用于数据校验、密码存储和数字签名等场景。用途数据校验:确保数据在传输过程中没有被篡改。密码存储:存储用户密码时,不直接存储明文密码,而是存储密码的哈希值,增加安全性。
数字签名数字证书
weixin_30532759的博客
04-03 321
1.用一套图片来说明数字签名和证书 1. 鲍勃有两把钥匙,一把是公钥,另一把是私钥。公钥是对外公开的,私钥只有鲍勃自己知道。 2.鲍勃把公钥送给他的朋友们----帕蒂、道格、苏珊----每人一把 ------------------------------------------------------------------------- 3.苏珊要给鲍勃写一封...
HTTP通讯安全中的Digest摘要认证释义与实现
JASON的博客
06-27 3418
出于安全考虑,HTTP规范定义了几种认证方式以对访问者身份进行鉴权,最常见的认证方式之一是Digest认证
JMETER内置函数__MD5加密、__digest加密DigestUtils方法加密、使用Python脚本进行加密
qq_36643889的博客
05-27 3696
1.内置函数__MD5加密 参数说明: String to calculate MD5 hash(必填):要加密的字符串。 Name of variable in which to store the result (optional):存储结果的变量的名称。 1、使用${__MD5(123456,pwd)}进行MD5加密加密结果为32位小写。 2、使用${__uppercase(,)}可以将加密结果转为大写,例如:${__uppercase(${__MD5(123456,
HTTP鉴权详解:BasicDigest访问认证
"RFC2617是互联网工程任务组(IETF)发布的一份标准文档,中文名为HTTP鉴权,主要介绍了HTTP协议中的两种身份验证机制:基本访问鉴别(Basic Access Authentication)和摘要访问鉴别(Digest Access Authentication)。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值