详解HTTP中的摘要认证机制

最新推荐文章于 2024-04-20 22:04:53 发布
最新推荐文章于 2024-04-20 22:04:53 发布
阅读量3.2w 收藏 31
点赞数 12
分类专栏: 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tenfyguo/article/details/8661517
版权

        在上一期http://blog.csdn.net/tenfyguo/article/details/6167190中笔者较为详细的介绍了HTTPBasic认证在apache下的配置,通过简单的实验演示了HTTP Basic认证的基本原理。

       但是,聪明的读者很快可以发现,这种认证方式是存在很多缺陷的,具体表现如下:

1,  Basic认证会通过网络发送用户名和密码,并且是以base64的方式对用户名和密码进行简单的编码后发送的,而base64编码本身非常容易被解码,所以经过base64编码的密码实际上是明文发送的。

2,  即使密码是经过加密传输的,当第三方用户仍然可以捕获被修改过的用户名和密码,并将修改过的用户名和密码反复多次的重放给原始服务器,以获得对服务器的访问权,Basic认证没有什么措施可以用来防止这些重放攻击。

3,  一些不良习惯会使得Basic认证更加危险,那就是用户由于受不了大量密码保护的服务,会在这些不同的服务间使用相同的用户名和密码。

4,  Basic认证没有提供任何针对代理和作为中间人的中间节点的防护措施,它们没有修改认证首部,但却能够修改报文的其余部分,这样就严重的改变了事务的本质。即Basic认证没法支持对内容或者报文本身的保护。

5,  Basic不支持对称认证,即客户端无法认证服务器的合法性,因此客户端很容易被钓鱼到一个非法的服务器从而输入了用户名和密码。

      综上,Basic 认证存在很多的不足,使得一般只能用在一些非常简单场景而不能很好的支持真正的产品级别的运用。

   

最低0.47元/天 解锁文章
tenfyguo
关注
  • 12
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
HTTP认证方式之DIGEST 认证摘要认证
LZHH_2008的博客
10-12 5573
DIGEST 认证摘要认证
HTTP认证方式
热门推荐
hotnet522的专栏
08-19 3万+
HTTP请求报头: Authorization HTTP响应报头: WWW-Authenticate HTTP认证基于质询/回应(challenge/response)的认证模式。 ◆ 基本认证 basic authentication   ← HTTP1.0提出的认证方法 客户端对于每一个realm,通过提供用户名和密码来进行认证的方式。 ※ 包含密码的明文传递 基本认证步骤: 1. 客户端访问一个受http基本认证保护的资源。
爆破专栏丨Spring Security系列之实现HTTP摘要认证_http摘要认证nc
最新发布
Python毕设源码程序王哥
04-20 889
纸上得来终觉浅,绝知此事要躬行!摘要认证的理论知识,我们就了解这么多,还是带大家来实操一把,把代码给搞出来。
详解HTTP摘要认证
静水流深
08-31 1751
典型的认证过程 客户端请求一个需要认证的页面,但是不提供[用户名]和[密码]。通常这是由于用户简单的输入了一个地址或者在页面点击了某个[超链接]。 服务器返回[401] “Unauthorized” 响应代码,并提供认证域(realm),以及一个随机生成的、只使用一次的数值,称为[密码随机数 nonce]。 此时,浏览器会向用户提示认证域(realm)(通常是所访问的计算机或系统的...
HTTP摘要认证 Digest access authentication
AURORA
01-14 1025
第三方接口对接:摘要认证 Digest access authentication HTTP认证方式: BASIC 认证(基本认证); DIGEST 认证摘要认证); SSL 客户端认证; FormBase 认证(基于表单认证); 1、摘要认证流程: (1) 服务器计算出一个随机数。 (2) 服务器将这个随机数放在 WWW-Authenticate 质询报文,与服务器所支持的算法列表一同发往客户端。 (3) 客户端选择一个算法,计算出密码和其他数据的摘要。 (4) 客户端将摘要放在一
WebApi接口安全认证——HTTP摘要认证
Mars Huang
09-17 3747
摘要访问认证是一种协议规定的Web服务器用来同网页浏览器进行认证信息协商的方法。它在密码发出前,先对其应用哈希函数,这相对于HTTP基本认证发送明文而言,更安全。从技术上讲,摘要认证是使用随机数来阻止进行密码分析的MD5加密哈希函数应用。它使用HTTP协议。 一、摘要认证基本流程: 1.客户端请求 (无认证)` GET /dir/index.html HTTP/1.0 Host: localhos...
HTTP 认证:基本认证摘要认证
Gnahzi
09-26 835
平时我们浏览网站时要登录的话需要提供帐号和密码以便验证身份,同理 HTTP 认证也是如此,但客户端需要访问服务器获取私人资源的话,就需要提供信息身份证明给服务器验证,验证通过才返回资源。 HTTP 官方定义了 2 个协议:基本认证(basic authentication)和摘要认证(digest authentication)。 一、基本认证 基本认证是目前最流行的 HTTP 认证协议,于 HTTP/1.0 规范提出。基本认证过程,服务器可以拒绝一个事务,质询客户端要求提供用户名和密码,服务器会返回
Spring Security系列教程06--实现HTTP摘要认证
一一哥
09-17 1382
前言 在前面的2个章节,一一哥 带大家认识了Spring Security的第基本认证与表单认证 2种认证方式,其表单认证是Spring Security默认的认证方式,也是开发时最常用的认证方式。有的小伙伴会问,不是还有第3种认证方式吗?对的,还有第三种摘要认证方式!在本文,我们来学习了解一下HTTP摘要认证。 但是对于摘要认证,我们仅做了解即可,因为这种认证方式仅比基本认证稍微安全一点,开发时用的也不是很多。抱着艺多不压身的心态,我们多了解一点反正也没坏处。 一. HTTP摘要认证 1.
http鉴权认证
04-03
2. **HTTP鉴权认证机制**: - **HTTP基本认证**:是最简单的鉴权方式,用户名和密码以Base64编码的形式在请求头发送。由于明文传输,安全性较低。 - **HTTP摘要认证**:比基本认证更安全,它使用哈希函数对...
28181平台对接接口详解.doc
12-24
HTTP认证是指在HTTP协议使用的认证机制,用于验证用户身份。常见的HTTP认证机制包括Basic认证和Digest认证等。 MD5算法解释 MD5(Message-Digest Algorithm 5)是一种密码散列函数,用于生成数字摘要。MD5算法...
httpcore jar包
11-05
2. **认证与安全**:支持基本认证摘要认证等多种HTTP认证方式,同时提供了SSL/TLS支持,可以安全地进行HTTPS通信。 3. **请求与响应处理**:HttpClient提供了丰富的请求构建器和响应处理器,可以方便地添加请求头...
RFC2829LDAP认证方法文版
07-17
SASL是Simple Authentication and Security Layer的缩写,它提供了一种标准化的方法,使得各种网络协议可以支持多种不同的认证机制,如口令、公钥认证摘要认证等。SASL的核心在于,它允许协议独立于具体的认证...
OSPF协议详解【OSPF RFC2328文版】
07-16
5. **认证功能**:OSPF支持多种认证机制,如简单密码、MD5或SHA-1,确保路由信息的安全性。 6. **快速收敛**:由于OSPF使用链路状态算法,一旦网络发生变化,路由器能够迅速更新路由表,实现快速收敛。 7. **路由...
HTTP摘要认证的C语言实现
北京老向 blog
06-29 1851
 SIP的用户注册和RTSP的DESCRIBE之后要用摘要认证(digestauthentication)。 digest的算法:A1 =username:realm:password A2 = mthod:uriHA1= MD5(A1) 如果 qop 值为“auth”或未指定,那么 HA2 为 HA2 =MD5(A2)=MD5(method:uri) 如果 qop 值为“auth-int”,那么...
HTTP Authentication之Basic认证、Digest认证
zyooooxie的博客
11-14 3012
Basic and Digest Access Authentication: 使用Postman、requests、JMeter来操作
如何正确处理nonce
关于代码的那些事
09-14 8793
问题概述 以太坊系列(ETH&ETC)在发送交易有三个对应的RPC接口,分别是ethsendTransaction、ethsendRawTransaction和personal_sendTransaction。这三个接口发送(或构造发送内容时)都需要一个参数nonce。官方文档对此参数的解释是:整数类型,允许使用相同随机数覆盖自己发送的处于pending状态的交易。 官网解释 仅从官...
HTTP协议详解
不懂love的博客
10-25 500
一、概念协议是指计算机通信网络两台计算机之间进行通信所必须共同遵守的规定或规则,超文本传输协议(HTTP)是一种通信协议,它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器。HTTP协议,即超文本传输协议(Hypertext transfer protocol)。是一种详细规定了浏览器和万维网(WWW = World Wide Web)服务器之间互相通信的规则,通过因特网传
HTTP响应协议和Response
fanfan999的博客
05-17 965
HTTP响应协议: 响应消息 请求消息: 客户端发送给服务器端的数据. 数据格式: 请求行: 请求方式 url信息 请求协议/版本号. 请求头 请求空行 请求体: 针对post请求方式的,get请求方式没有请求体. 响应消息: 服务器端发送给客户端的数据. 数据格式 响应空行 响应头 响应行 响应体: 真实传输的数据,也就是我们传输的html这些文本文件,图片,音频等,这些浏览器...
openssl库详细介绍
04-24
OpenSSL库是一个广泛应用于网络安全领域的开源软件套件,尤其在加密和认证方面扮演着重要角色。本文将围绕OpenSSL库的基础知识进行详细介绍,首先聚焦于对称加密算法。 1.1 对称算法 对称加密算法,也称为共享密钥...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值