详解HTTP中的摘要认证机制

最新推荐文章于 2024-06-21 01:37:04 发布
最新推荐文章于 2024-06-21 01:37:04 发布
阅读量3.2w 收藏 31
点赞数 12
分类专栏: 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tenfyguo/article/details/8661517
版权

        在上一期http://blog.csdn.net/tenfyguo/article/details/6167190中笔者较为详细的介绍了HTTPBasic认证在apache下的配置,通过简单的实验演示了HTTP Basic认证的基本原理。

       但是,聪明的读者很快可以发现,这种认证方式是存在很多缺陷的,具体表现如下:

1,  Basic认证会通过网络发送用户名和密码,并且是以base64的方式对用户名和密码进行简单的编码后发送的,而base64编码本身非常容易被解码,所以经过base64编码的密码实际上是明文发送的。

2,  即使密码是经过加密传输的,当第三方用户仍然可以捕获被修改过的用户名和密码,并将修改过的用户名和密码反复多次的重放给原始服务器,以获得对服务器的访问权,Basic认证没有什么措施可以用来防止这些重放攻击。

3,  一些不良习惯会使得Basic认证更加危险,那就是用户由于受不了大量密码保护的服务,会在这些不同的服务间使用相同的用户名和密码。

4,  Basic认证没有提供任何针对代理和作为中间人的中间节点的防护措施,它们没有修改认证首部,但却能够修改报文的其余部分,这样就严重的改变了事务的本质。即Basic认证没法支持对内容或者报文本身的保护。

5,  Basic不支持对称认证,即客户端无法认证服务器的合法性,因此客户端很容易被钓鱼到一个非法的服务器从而输入了用户名和密码。

      综上,Basic 认证存在很多的不足,使得一般只能用在一些非常简单场景而不能很好的支持真正的产品级别的运用。

   

最低0.47元/天 解锁文章
tenfyguo
关注
  • 12
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
28181平台对接接口详解.doc
12-24
28181平台对接接口详解.doc
http协议之digest(摘要)认证
热门推荐
jszj的专栏
05-13 4万+
参考网址: http://www.faqs.org/rfcs/rfc2617.html http://www.faqs.org/rfcs/rfc1321.html http://www.cnblogs.com/my_life/articles/2285649.html http://blog.sina.com.cn/s/blog_53b15ed5010006t9.html http://
Java【算法 04】HTTP认证方式之DIGEST认证详细流程说明及举例
最新发布
2401_84264536的博客
06-21 448
然后将客户端发送的响应字符串和服务器端生成的响应字符串进行比较。客户端接收到401响应,表示需要进行认证,客户端提示用户输入他们的用户名和密码,然后响应一个新的请求,该请求在 Authorization。服务器返回响应: 如果服务器验证成功,它会返回请求的资源内容给客户端,同时在响应的头部包含认证成功的标识。客户端发送响应: 客户端将生成的响应字符串发送给服务器,放在请求的"Authorization"头部。如果服务器验证成功,它会返回请求的资源内容给客户端,同时在响应的头部包含认证成功的标识。
http Digest认证计算方法整理
诗筱涵的博客
09-11 3609
摘要认证及实现HTTP digest authentication - 简书 不要不知道上面说的URI是什么意思啊 图解HTTP 第 8 章 确认访问用户身份的认证 - 简书 Http auth认证的两种方式Basic方式和 Digest认证_Virgil_K2017的博客-CSDN博客 ...
HTTP摘要认证的C语言实现
北京老向 blog
06-29 1864
 SIP的用户注册和RTSP的DESCRIBE之后要用摘要认证(digestauthentication)。 digest的算法:A1 =username:realm:password A2 = mthod:uriHA1= MD5(A1) 如果 qop 值为“auth”或未指定,那么 HA2 为 HA2 =MD5(A2)=MD5(method:uri) 如果 qop 值为“auth-int”,那么...
HTTP 基本认证(basic auth)和摘要认证(digest auth)区别
Dontla的博客
02-07 3828
Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。Digest认证是为了修复基本认证协议的严重缺陷而设计的,秉承“绝不通过明文在网络发送密码”的原则,通过“密码摘要”进行认证,大大提高了安全性。绝不通过明文在网络上发送密码可以有效防止恶意用户进行重放攻击可以有选择的防止对报文内容的篡改。
Http权威指南笔记(十)——认证
VictorCatFish的博客
05-09 705
现在大多数网站都会在cookie等客户端识别机制的基础上建立自己的认证机制。但是HTTP规范提供的原生认证机制还是有必要了解下,了解这些后才能更好理解那些自己建立的认证机制HTTP原生认证功能一般分为基本认证摘要认证。基本认证相对简单,但是安全性相对较弱,摘要认证要复杂一些,当然安全性也会高一些。在介绍这两种认证方式之前,我们先看下HTTP涉及到认证的一些通用概念。 1 HTTP认证机制...
nonce值是什么?(Number once)(Number used once)cnonce(client nonce)(一个只被使用一次的任意或非重复的随机数值)
Dontla的博客
04-26 1510
Nonce是Number once的缩写,在密码学Nonce是一个只被使用一次的任意或非重复的随机数值。 具体应用 在摘要认证服务器让客户选一个随机数(称作”nonce“),然后浏览器使用一个单向的加密函数生成一个消息摘要(message digest),该摘要是关于用户名、密码、给定的nonce值、HTTP方法,以及所请求的URL。 例子编辑 播报 一个典型的基于 nonce 的验证协议如下: 这里的 cnonce 为 client nonce(后面将讨论为什么需要 cnonce)。Client 并不
HTTP Authentication之Basic认证、Digest认证
zyooooxie的博客
11-14 3035
Basic and Digest Access Authentication: 使用Postman、requests、JMeter来操作
http鉴权认证
04-03
2. **HTTP鉴权认证机制**: - **HTTP基本认证**:是最简单的鉴权方式,用户名和密码以Base64编码的形式在请求头发送。由于明文传输,安全性较低。 - **HTTP摘要认证**:比基本认证更安全,它使用哈希函数对...
Java安全知识点详解:加密、认证、防护和漏洞扫描
06-19
Java安全涉及多个方面,包括加密和解密、安全认证和授权、安全通信和防护,以及安全漏洞扫描。本文将深入探讨这些关键知识点。 首先,加密和解密是信息安全的基础。对称加密,如DES和AES,使用相同的密钥进行加解密...
基于身份加密系统的SIP认证机制 pdf文档
11-28
然而,SIP标准预设的认证机制,如HTTP摘要认证,虽然能够确保密码的加密传输并利用Nonce防止重放攻击,但依然无法有效抵御间人攻击和会话劫持。 此外,SIP在传输S/MIME(Secure Multipurpose Internet Mail ...
httpcore jar包
11-05
2. **认证与安全**:支持基本认证摘要认证等多种HTTP认证方式,同时提供了SSL/TLS支持,可以安全地进行HTTPS通信。 3. **请求与响应处理**:HttpClient提供了丰富的请求构建器和响应处理器,可以方便地添加请求头...
基于timestamp和nonce的防止重放攻击方案
koastal的博客
12-04 4万+
以前总是通过timestamp来防止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。 首先要明确一个事情,重...
HTTP认证方式
hotnet522的专栏
08-19 3万+
HTTP请求报头: Authorization HTTP响应报头: WWW-Authenticate HTTP认证基于质询/回应(challenge/response)的认证模式。 ◆ 基本认证 basic authentication   ← HTTP1.0提出的认证方法 客户端对于每一个realm,通过提供用户名和密码来进行认证的方式。 ※ 包含密码的明文传递 基本认证步骤: 1. 客户端访问一个受http基本认证保护的资源。
从零开始手写一个http-basic认证服务器
lzy_zhi_yuan的博客
05-16 1047
手写httpbasic协议服务器..
详解摘要认证
weixin_34418883的博客
12-01 493
1. 什么是摘要认证摘要认证与基础认证的工作原理很相似,用户先发出一个没有认证证书的请求,Web服务器回复一个带有WWW-Authenticate头的响应,指明访问所请求的资源需要证书。但是和基础认证发送以Base 64编码的用户名和密码不同,在摘要认证服务器让客户端选一个随机数(称作”nonce“),然后浏览器使用一个单向的加密函数生成一个消息摘要(message digest),该摘要是关于...
HTTP认证方式之DIGEST 认证摘要认证
LZHH_2008的博客
10-12 5685
DIGEST 认证摘要认证
nodejs如何实现Digest摘要认证
02-11 1832
如何实现摘要认证
HTTP摘要鉴别RFC2617文版详解
"RFC2617文版 - HTTP摘要认证机制" ...RFC2617描述的摘要认证机制HTTP提供了一种相对安全的用户身份验证方法,尽管它仍然面临多种安全威胁,但通过合理的安全策略和实现,可以有效地提高网络服务的安全性。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值