构建RESTful Web Service - 验证的实现和使用(HTTP 基本认证)

最新推荐文章于 2024-05-20 14:09:23 发布
最新推荐文章于 2024-05-20 14:09:23 发布
阅读量2.8k 收藏
点赞数
分类专栏: IT技术 文章标签: http协议 restful


  • 博客分类: 
  • php
Web PHP Ajax JavaScript Access
因为RESTful的无状态特性,导致无法知道当前的请求方是否可靠,所以不得不对每次请求进行验证。但是如何更语义化的将需要验证的信息附加到HTTP里呢?现在比较常见的方式是把验证信息作为参数发送过去,但是这样会违反RESTful的原则。例如,GET /user/1/xx验证信息xx。幸好的是HTTP协议本身定义了两种认证方式,Basic和Digest。 

一、HTTP 基本认证(Basic Athorization) 
I.简介 
HTTP基本认证比较简单,明文发送,没有签名,安全性低,没作用域,只能适用于一般场合。 

整个交互过程如下: 
  1. 用户访问需要认证的页面
  2. 服务端验证失败,响应401状态码,并响应WWW-Authenticate报头
  3. 客户端收到WWW-Authenticate报头,表示要提供认证信息
  4. 客户端将用户名和密码使用:号连接,并base64编码后方在报头里发送回服务端
例子: 
1.客户端发起请求,无发送认证信息: 
Java代码   收藏代码
  1. GET /private/index.html HTTP/1.0  
  2. Host: localhost  

2.服务端响应 
Java代码   收藏代码
  1. HTTP/1.0 401 Authorization Required  
  2. Server: HTTPd/1.0  
  3. Date: Sat, 27 Nov 2004 10:18:15 GMT  
  4. WWW-Authenticate: Basic realm="Secure Area"  
  5. Content-Type: text/html  
  6. Content-Length: 311  
  7.   
  8. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"  
  9.  "http://www.w3.org/TR/1999/REC-html401-19991224/loose.dtd">  
  10. <HTML>  
  11.   <HEAD>  
  12.     <TITLE>Error</TITLE>  
  13.     <META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-1">  
  14.   </HEAD>  
  15.   <BODY><H1>401 Unauthorized.</H1></BODY>  
  16. </HTML>  

3.客户端发起有认证信息的请求 
Java代码   收藏代码
  1. GET /private/index.html HTTP/1.0  
  2. Host: localhost  
  3. Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==  

4.服务端响应 
Java代码   收藏代码
  1. HTTP/1.0 200 OK  
  2. Server: HTTPd/1.0  
  3. Date: Sat, 27 Nov 2004 10:19:07 GMT  
  4. Content-Type: text/html  
  5. Content-Length: 10476  

II.服务端的实现 
认证失败响应 
Php代码   收藏代码
  1. header('WWW-Authenticate: Basic realm="Test"');  
  2. header('HTTP/1.1 401 Unauthorized');  

客户端发送过来的用户名和密码通过 $_SERVER['PHP_AUTH_USER'] 和 $_SERVER['PHP_AUTH_PW'] 获得 

III.客户端的使用 
1.PHP/cURL 
只需两个设置就可以实现HTTP 基本认证。 
Php代码   收藏代码
  1. curl_setopt($ch, CURLOPT_HTTPAUTH, CURLAUTH_BASIC);  
  2. curl_setopt($ch, CURLOPT_USERPWD, 'username:password');  


2.Javascript/AJAX 
XMLHttpRequest对象的open方法提供了设置参数 
Javascript代码   收藏代码
  1. xhr.open("GET""/"true"username""password")  


如果使用jQuery的话,用$.ajax方法 
Javascript代码   收藏代码
  1. $.ajax({username : "username", password : "password"})  


3.Linux/cURL 
命令行下使用cURL发起请求 
Java代码   收藏代码
  1. curl -u username:password http://localhost/   


参考资料: 
HTTP Authentication: Basic and Digest Access Authentication 
Digest access authentication 
Basic access authentication 
Form形式的HTTP Basic Authentication 
风中静行
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Restful方式调用WebService接口(需认证
小废物的博客
03-20 2111
Rest方式调用WebService接口,节省整合框架的成本,以及生成客户端导致的项目臃肿;Rest方式调用需认证WebService接口,轻松绕过复杂的WebService认证Java代码
JAX-RS RESTful webservice 服务端及客户端实现(基于HTTPS双向认证)
学习记录和开发记录
10-18 5898
在ApacheCXF的Sample里以及网上很多有关RESTful HTTPS双向认证的文章介绍仅仅是理论,没有涉及实际环境的实现(客户端和服务端都是localhost);这几天使用Apache的CXF以及 Apache portable HttpClient实现跨IP的JAXRS HTTPS双向认证实现。 在实践中发现tomcat版本7.0.70和7.0.68在TLS/SSL支持上也存在差异。
【计算机网络学习笔记(十三)】之HTTPS,HTTP认证机制,安全漏洞
开发小鸽
05-13 652
文章目录本文章由公号【开发小鸽】发布!欢迎关注!!!一. HTTPS(一) HTTP的缺点1. 通信使用明文2. 没有身份验证机制3. 无法验证报文的完整性(二) HTTPS介绍1. 概述2. 加密技术(1) 共享密钥加密(2) 公共密钥加密3. HTTPS的加密机制4. 证书机制5. HTTPS通信步骤6. 客户端证书二. HTTP认证机制(一) 认证机制分类(二) Basic认证(三) Digest认证(四) SSL客户端认证(五) 表单认证三. 安全漏洞(一) 点击劫持(二) Dos攻击(三) 后门
JAVA 中 HTTP 基本认证(Basic Authentication)
最新发布
sayyy的专栏
05-20 666
Java REST Client
weixin_30466039的博客
11-15 163
GET: import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.net.HttpURLConnection; import java.net.MalformedURLException; import java.net.URL;...
RESTful 服务和 HTTP 操作谓词的基础知识
kalvin_y_liu的博客
06-20 839
Restful的本质 一种基于资源的软件架构风格. 核心 面向资源设计API 解决的问题 降低开发的复杂性 提供系统的可伸缩性 只需设计一套相同的后端处理接口,就可以为不同类型的终端(PC、Mobile等)提供服务。 设计概念和准则 网络上的所有事物都可以被抽象为资源; 每一个资源都有唯一的资源标识,对资源的操作不会改变这些标识; 所有的操作都是无状态的(每次操作都是独立的,互不关联) 资源 网络上的一个实体,或网络上的一个具体信息(文字、图片、视频、音频等)。 Restful API 从定义上来说
测试RESTful Web Services的三种方法(推荐Simple REST Client)
murphy_ma的专栏
05-21 1万+
测试RESTful Web Services的三种方法 如今网站搞个开放API,弄个RESTful Web Services似乎早不是新鲜事了。尤其在Twitter、Facebook、Google等先行者的推动下,获取其他网站的资源并进行Mashup变得越来越普遍。如今在SNS大行其道的日子里,你不搞个“推荐该内容到人人网/开心网/新浪微博”这样的链接,你都不好意思出去见人说“我是做网站
restful-web-service
03-18
RESTful Web服务是一种基于HTTP协议的、轻量级的网络通信方式,广泛应用于现代Web应用...以上内容涵盖了使用Java和Spring框架构建RESTful Web服务的基本概念和技术要点,实际开发中还需要结合具体需求进行调整和优化。
gs-rest-service构建RESTful Web服务::了解如何使用Spring创建RESTful Web服务
02-05
在IT行业中,构建RESTful Web服务是开发现代Web应用程序的核心技术之一。REST(Representational State Transfer)是一种架构风格,用于设计网络应用程序,尤其适合互联网规模的分布式系统。本教程将聚焦于使用...
Spring-Boot-Restful-Web-Service
04-01
6. **安全控制**: Spring Boot集成了Spring Security,可以轻松实现认证(Authentication)和授权(Authorization)。 7. **Swagger**: 可以集成Swagger来生成API文档,方便开发者理解和使用API。 通过以上知识点...
web-service-express:Nodejs和Express中的Restful Web服务
05-17
- **认证与授权**:对于需要验证身份的API,可以使用JWT(JSON Web Tokens)或OAuth等技术实现安全的认证和授权。 通过学习和实践Node.js与Express,开发者可以快速构建出功能丰富的RESTful Web服务,满足各种Web...
Restful安全认证及权限的一种解决方案
浪子恒心
06-10 1019
一、Restful安全认证常用方式 1.Session+Cookie 传统的Web认证方式。需要解决会话共享及跨域请求的问题。 2.JWT JSON Web Token。 3.OAuth 支持两方和三方认证,是目前使用比较广泛的安全认证方式,但对于不使用第三方登录的认证的方式不太适用。 二、JWT简介 JWT由三部分组成,包括Header、Payload和Signature。 ...
WCF + RESTful + 基本认证
03-09
一直不明白如何验证RESTFul风格的交互安全,搞了好几天,终于找到了两个源码,分享给大家,希望对大家有帮助 。
RestFul接口的安全验证事例
热门推荐
allen的博客
02-23 1万+
这次要写一些restful的接口,在访问安全这一块最开始我想到用redis存储模拟session,客户端访问会带token过来模拟jsessionid,然后比对,但是这样会让token暴露在网络中,很不安全而且没有意义。其实可以用签名的方法来解决这个问题:首先:client开通服务的时候,server会给它创建authKey和一个token,authKey相当于是公钥可以暴露在网络中,token是私
RESTful Web Service - http身份登录认证实现使用(一)
HH出状猿的专栏
09-08 2899
RESTful Web Service - http身份登录认证实现使用(一) 一、概述:                  因为RESTful的无状态特性,导致无法知道当前的请求方是否可靠,所以不得不对每次请求进行验证。但是如何更语义化的将需要验证的信息附加到HTTP里呢?现在比较常见的方式是把验证信息作为参数发送过去,但是这样会违反RESTful的原则。例如,GET /user/1/x
我对 WCF RESTful 身份验证实现方式
lorinzhang
12-26 2982
RESTful   具体含义请去搜索 ,意味着我们的服务是无状态的,每次调用完全无关的 那么我们怎么保证身份验证呢? 一般这类服务都是提供给别人调用(一般是 第三方系统 ),或者叫做应用程序编程接口 (api) 随便叫吧,就这么个意思 假如我有一个服务地址为  www.a.com/aservice/    提供给别人的登录名 为   system1     密码 为   abedeff
spring 4 restful 服务添加http-basic 验证
davidmeng6628的专栏
08-16 440
spring 4 restful 服务使用spring-security添加http-basic 验证
从REST API 谈线上接口验证
Hankle_Xu的博客
01-09 4372
在快速迭代的互联网行业,无数的接口提供了各种服务,大到系统级,小到应用级,对于纷繁复杂的接口的测试,无论测试还是线上环境,面向接口测试,变得尤为迫切。实际中测试工程师在做接口验证时,往往面临生产环境权限的掣制,或面临生产环境配置差异而无法像测试环境一样进行接口测试。相比与传统的RPC(远程过程调用,一般关注的是行为和处理),使用合适的客户端对基于面向资源的远程调用REST API,更适合做接口线上
构建Instagram风格应用:连接Web Service实现照片分享
"如何创建一个类似Instagram的使用Web Service作后台的应用" 在本教程中,你将探索构建一个类似于Instagram的iOS应用,该应用利用Web Service作为后台进行数据交互。这个应用的核心知识点主要包括: 1. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值