HTTP通讯安全中的Digest摘要认证释义与实现

已于 2023-12-22 13:54:38 修改
阅读量2.6k 收藏 4
点赞数 2
分类专栏: HTTP协议 文章标签: http 服务器 安全
于 2022-06-27 15:47:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangchixiao/article/details/125454993
版权

摘要

出于安全考虑,HTTP规范定义了几种认证方式以对访问者身份进行鉴权,最常见的认证方式之一是Digest认证

Digest认证简介

        HTTP通讯采用人类可阅读的文本格式进行数据通讯,其内容非常容易被解读。出于安全考虑,HTTP规范定义了几种认证方式以对访问者身份进行鉴权,最常见的认证方式之一是Digest认证。Digest是一种加密认证方式,通讯中不会传输密码信息,而仅采用校验方式对接入的请求进行验证。

        Digest认证支持的加密算法有:SHA256,SHA512/256,MD5。上述这几种算法都是由哈希函数来生成散列值,其加密过程为单向计算,请求方无法反算出密码明文。这里需要强调的是,HTTP认证像其它认证方式一样仅仅对资源访问进行鉴权,但无法保证通讯过程的安全。

通讯协商过程

发起请求

# <<127.0.0.1:50315
GET / HTTP/1.1
Host: 127.0.0.1:9090


质询

# >>127.0.0.1:50315
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Digest realm="http-auth@mozicoder.org",
              nonce="M0P1F4D75VG1IFAJNKA7YG5FW1WRMGCP",
              opaque="IGH008EZM3E277G3BXVGWTABKRE6URHK",
              algorithm=MD5,
              qop="auth"
Server: Mozi.HttpEmbedded/1.4.7.0
 

请求验证

# >>127.0.0.1:50325
GET / HTTP/1.1
Host: 127.0.0.1:9090
Authorization: Digest realm="http-auth@mozicoder.org",
            username="admin",
            nonce="M0P1F4D75VG1IFAJNKA7YG5FW1WRMGCP",
            uri="/", 
            algorithm=MD5,
            response="1cfe3a00105362cbe5174cb525784f4f",
            opaque="IGH008EZM3E277G3BXVGWTABKRE6URHK",
            qop=auth,
            nc=00000001, 
            cnonce="0698175c27a8bcee"

校验并返回

# >>127.0.0.1:50325
HTTP/1.1 200 OK
Server: Mozi.HttpEmbedded/1.4.7.0

Digest认证的参数

服务端

realm

认证域。明文信息,用于提示客户端使用哪些用户名和密码。这个值可以设置成任意字符串,建议不要超出ASCII范畴。建议设置成 {string}@{domain} 这种格式,例如:http-auth@mozicoder.org。

domain

受保护的域名信息。以空格为分割,可以是绝对地址,也可以是相对路径。

nonce

随机数。用于参与加密运算,其值取决于服务端如何生成这个参数值。推荐使用B64字符串或HEX字符串。服务端可通过算法实现none的有效时间来防止重放攻击。

opaque

透传字符串。客户端在请求中附带同样的参数值。

stale

随机数是否过期。用于指示客户端认证信息中的随机数是否过期。

algorithm

算法类型。算法类型包括SHA256,SHA512/256,MD5。如果参数列表中没有出现这个值,则默认使用MD5。建议使用MD5。

qop

加密质量。可选值为auth,auth-int。具体区别请文章中的算法实现。

charset

字符集。其唯一可以设置的值为"UTF-8"。一般不设置这个值,这个参数意义不大。

userhash

是否将用户名也进行加密。取值范围:true|false,默认不进行设置,也就是false。

客户端

realm

认证域。明文信息,用于提示客户端使用哪些用户名和密码。使用服务端返回的字符串。

response

加密结果。此值是加密检验的最终对比对象。

username

用户名。

username*

扩展的用户名。当用户名中出现了不符合ABNF范式的字符串的时候,使用这个参数设置用户名和密码,同时也要满足userhash=false这个条件。

uri

路径信息。指示当前正在请求的路径信息,值为相对于根路径的相对路径。

qop

加密质量。可选值为auth,auth-int。具体区别请文章中的算法实现。

cnonce

客户端随机数。用于参与加密运算,其值取决于客户端如何生成这个参数值。推荐使用B64字符串或HEX字符串。服务端可通过算法实现none的有效时间来防止重放攻击。

nc

客户端请求校验的次数。是一个16进制的数值,表示同一nonce下客户端发送出请求的数量。

userhash

是否将用户名也进行加密。取值范围:true|false,默认不进行设置,也就是false。注意:上述参数值仅username, realm, nonce, uri,response, cnonce, and opaque这几个字段可以使用""进行包裹。

Digest认证的验证算法

response=H(HA1:HD:HA2)

//如果加密算法以"-sess"结束

if  !algorithm.EndWith("-sess"){

        HA1=H(username:realm:password)

}else{

        HA1=H(username:realm:password: nonce:cnonce)

}

HD=nonce:nc:cnonce:qop

if  qop!="auth-int"{

        HA2=H(Method:url)

}else{

        HA2=H(Method:url:Body-Length)

}

参考文档

[RFC7616]    R. Shekh-Yusef, Ed.D. Ahrens,S. Bremer,"HTTP Digest Access Authentication"

JasonWcx
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Http Digest 鉴权
06-21
摘要”式认证Digest authentication)是一个简单的认证机制,最初是为HTTP协议开发的,因而也常叫做HTTP摘要,在RFC2671描述。其身份验证机制很简单,它采用杂凑式(hash)加密方法,以避免用明文传输用户的口令。 摘要认证就是要核实,参与通信的双方,都知道双方共享的一个秘密(即口令)。
Digest认证摘要 isapi (MD5算法)
11-09
内涵c++ java Python等例程
Java【算法 04】HTTP认证方式之DIGEST认证详细流程说明及举例
Java与大数据相关实践内容分享!
08-11 2365
HTTP认证方式之DIGEST认证详细流程说明及举例
数字签名数字证书
weixin_30532759的博客
04-03 224
1.用一套图片来说明数字签名和证书 1. 鲍勃有两把钥匙,一把是公钥,另一把是私钥。公钥是对外公开的,私钥只有鲍勃自己知道。 2.鲍勃把公钥送给他的朋友们----帕蒂、道格、苏珊----每人一把 ------------------------------------------------------------------------- 3.苏珊要给鲍勃写一封...
http-client-digest_auth:针对Crystal的RFC 2617摘要访问身份验证的实现
02-04
http-client-digest_auth:针对Crystal的RFC 2617摘要访问身份验证的实现
http协议之digest(摘要)认证,详细讲解并附Java SpringBoot源码
一火的专栏
12-04 5493
http协议之digest(摘要)认证,详细讲解并附Java SpringBoot源码
HTTP认证方式之DIGEST 认证摘要认证
LZHH_2008的博客
10-12 5281
DIGEST 认证摘要认证
HTTP Digest接入方式鉴权认证流程
her_he的博客
08-05 2992
HTTP摘要认证原理与流程,实现摘要认证鉴权认证流程代码
HTTP Digest 认证头是干什么的?底层原理是什么?
长风破浪会有时的博客
06-13 394
需要注意的是,虽然 Digest 认证提供了一定程度的安全性,但它并不是绝对安全的,因为摘要算法本身可能受到攻击。因此,对于敏感数据的保护,更安全认证机制,如使用 HTTPS 进行加密通信,或使用更强大的认证方案(如 OAuth)可能更合适。客户端发送一个 HTTP 请求到服务器,并在请求头包含一个 Authorization 头,值为 "Digest" 加上一系列包含身份验证参数的键值对。服务器根据传入的参数和存储在服务器上的凭据,使用摘要算法(通常是 MD5 或 SHA-1)计算一个期望的摘要
http协议之digest(摘要)认证
热门推荐
jszj的专栏
05-13 4万+
参考网址: http://www.faqs.org/rfcs/rfc2617.html http://www.faqs.org/rfcs/rfc1321.html http://www.cnblogs.com/my_life/articles/2285649.html http://blog.sina.com.cn/s/blog_53b15ed5010006t9.html http://
okhttp-digest:okhttp摘要身份验证器
05-04
okhttp-digest okhttp摘要身份验证器。 大多数代码是从Apache Http Client移植的。 重要的 该工件已从jcenter转移到了Maven Central! 坐标已从 com.burgstaller:okhttp-digest:<version>到io.github.rburgst:okhttp-digest:<version> 有关更多详细信息,请参见 。 用法 final DigestAuthenticator authenticator = new DigestAuthenticator ( new Credentials ( " username " , " pass " )); final Map< String> authCache = new ConcurrentHashMap<> (); f
spring-security-digest:spring-security 与摘要认证示例
06-21
spring-security-digest 示例 该项目演示了使用 RESTful 服务的 Java 配置使用 Spring-Security 进行摘要式身份验证的用法 请阅读我在帖子
模拟Digest认证的登录demo
01-15
一个模拟http 401 Digest认证的登录海康NVR抓取摄像头列表的小demo
Linux:http配置用户登录认证访问网页
最新发布
fox_kang的博客
04-27 305
【代码】Linux:http配置用户登录认证访问网页。
如何用JS校验HTTPHTTPS地址
qq_43474235的博客
04-21 454
在日常开发过程,我们有时候对某些应用功能进行封装,但是在请求接口又不能写死,这个时候我们需要对他进行多方面考虑。
网站HTTP怎么改成HTTPS?——免费版
JoySSL230907的博客
04-23 1537
不用您花一分钱,SSL证书免费使用90天,并且还支持连续签发。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 打开服务器管理软件(如Apache、Nginx),找到配置文件,告诉它新证书的位置,让它开始监听HTTPS(443端口)。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
HTTP慢连接攻击的原理和防范措施
dexunyun的博客
04-23 891
HTTP慢速连接攻击是CC攻击的变种,对任何一个允许HTTP访问的服务器,攻击者先在客户端上向该服务器建立一个content-length比较大的连接,然后通过该连接以非常低的速度(例如,1秒~10秒发一个字节)向服务器发包,并维持该连接不断开。攻击者就是利用了这点,对服务器发起一个HTTP请求,一直不停的发送HTTP头部,但是HTTP头字段不发送结束符,之后发送其他字段,而服务器在处理之前需要先接收完所有的HTTP头部,导致连接一直被占用,这样就消耗了服务器的连接和内存资源;
了解HTTP代理服务器:优势、分类及应用实践
qq_42992840的博客
04-26 510
通过缓存服务器的方式,它可以将客户端请求的资源暂时保存在本地,当其他客户端再次请求相同的资源时,它可以直接返回本地缓存的副本,减少了对服务器的访问,从而提高了访问速度。通过配置代理服务器的规则,我们可以限制特定的网络访问,屏蔽恶意网站或内容,保护用户的网络安全。那么,HTTP代理服务器到底是什么?在内容过滤方面,代理服务器可以根据配置的规则过滤恶意网站、广告和垃圾邮件等内容,提供更加清洁和安全的网络环境。在加速访问方面,代理服务器通过缓存和压缩技术,可以加快用户对网页和文件的访问速度,提供更好的用户体验。
HTTP网络协议,接口请求的内容类型 content-type(2024-04-27)
hap1994的博客
04-27 1152
Content-Type(内容类型),一般是指网页存在的 Content-Type,用于定义网络文件的类型和网页的编码,决定浏览器将以什么形式、什么编码读取这个文件,这就是经常看到一些 PHP 网页点击的结果却是下载一个文件或一张图片的原因。Content-Type 标头告诉客户端实际返回的内容的内容类型。
httpclient实现digest认证
05-13
HttpClient可以通过提供的CredentialsProvider接口来实现digest认证。下面是一个示例代码: ```java import org.apache.http.HttpEntity; import org.apache.http.HttpHost; import org.apache.http.auth.AuthScope; import org.apache.http.auth.UsernamePasswordCredentials; import org.apache.http.client.CredentialsProvider; import org.apache.http.client.methods.CloseableHttpResponse; import org.apache.http.client.methods.HttpGet; import org.apache.http.client.protocol.HttpClientContext; import org.apache.http.impl.auth.DigestScheme; import org.apache.http.impl.client.BasicCredentialsProvider; import org.apache.http.impl.client.CloseableHttpClient; import org.apache.http.impl.client.HttpClients; import org.apache.http.util.EntityUtils; import java.io.IOException; public class DigestAuthExample { public static void main(String[] args) throws IOException { String username = "user"; String password = "password"; HttpHost target = new HttpHost("localhost", 8080, "http"); CredentialsProvider credsProvider = new BasicCredentialsProvider(); credsProvider.setCredentials( new AuthScope(target.getHostName(), target.getPort()), new UsernamePasswordCredentials(username, password)); CloseableHttpClient httpClient = HttpClients.custom() .setDefaultCredentialsProvider(credsProvider) .build(); HttpClientContext context = HttpClientContext.create(); HttpGet httpGet = new HttpGet("/"); CloseableHttpResponse response = httpClient.execute(target, httpGet, context); try { HttpEntity entity = response.getEntity(); EntityUtils.consume(entity); } finally { response.close(); } // Get the digest scheme from the context DigestScheme digestScheme = (DigestScheme) context.getAuthScheme(target); // Use the digest scheme to generate the next request's headers HttpGet httpGet2 = new HttpGet("/"); httpGet2.addHeader(digestScheme.authenticate( new UsernamePasswordCredentials(username, password), httpGet2, context)); CloseableHttpResponse response2 = httpClient.execute(target, httpGet2, context); try { HttpEntity entity = response2.getEntity(); EntityUtils.consume(entity); } finally { response2.close(); } } } ``` 这个示例代码,使用了BasicCredentialsProvider来提供用户名和密码。当httpClient执行第一次请求时,服务器返回401 Unauthorized响应,httpClient会尝试使用提供的凭据进行认证。然后,httpClient会使用DigestScheme生成下一个请求的摘要认证头。在第二次请求httpClient使用这个头来进行认证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JasonWcx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值