www-authenticate与BASE-64认证技术

最新推荐文章于 2024-05-16 13:05:46 发布
最新推荐文章于 2024-05-16 13:05:46 发布
阅读量226 收藏
点赞数
文章标签: php 嵌入式 java
原文链接:http://www.cnblogs.com/wuyida/p/6300881.html
版权
www-authenticate是一种简单的用户身份认证技术。
很多验证都采用这种验证方式,尤其在嵌入式领域中。
优点:方便
缺点:这种认证方式在传输过程中采用的用户名密码加密方式为BASE-64,其解码过程非常简单,如果被嗅探密码几乎是透明的.


服务器收到请求后,首先会解析发送来的数据中是否包含有:
Authorization: Basic XXXX=这种格式的数据
如果没有这样的header数据
那么服务器会发送HTTP信息头WWW-Authenticate: Basic realm=""到浏览器
要求浏览器发送合法的用户名和密码到服务端,为了进一步告知浏览器,这个页面需要认证 我们最还还是接着发送一个401错误
Header("HTTP/1.0 401 Unauthorized");


用户输入用户名:admin 密码:admin后,浏览器将以下面这种格式将数据发送给服务器端:Authorization: Basic YWRtaW46YWRtaW4=
Authorization: Basic为www-authenticate认证的标准HTTP信息头
YWRtaW46YWRtaW4=是经BASE-64加密后的用户名和密码
经解密后的格式为 admin:admin


这时我们就可以用过PHP的全局变量来使用它们了
$_SERVER['PHP_AUTH_USER'];
$_SERVER['PHP_AUTH_PW'];


路由器都是这么做的 

if(!isset($_SERVER['PHP_AUTH_USER']) && !isset($_SERVER['PHP_AUTH_PW'])){
    Header("WWW-Authenticate: Basic realm=\"USER LOGIN\"");
    Header("HTTP/1.0 401 Unauthorized");
} else {
    echo $_SERVER['PHP_AUTH_USER'];
    echo $_SERVER['PHP_AUTH_PW'];
}


--------------------------------------

http://tool.chinaz.com/Tools/Base64.aspx


比如java的http请求认证:

Base64加密码:Z3Vlc3Q6Z3Vlc3Q=   

表示:guest:guest

HttpGet httpGet = new HttpGet("http://192.168.1.10:55672/api/queues");
        httpGet.setHeader("Authorization", "Basic Z3Vlc3Q6Z3Vlc3Q=");
        try {
            HttpResponse httpResponse = httpClient.execute(httpGet);
            String res = EntityUtils.toString(httpResponse.getEntity());
        } catch (Exception e) {
            LOGGER.warn("http client fail", e);
            return null;
        }

转载于:https://www.cnblogs.com/wuyida/p/6300881.html

weixin_30263073
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【HTTP】http 401Basic验证和WWW-Authenticate、Authorization
厚积薄发者,轻舟万重山
05-31 8304
http 401Basic验证和WWW-Authenticate、Authorization
ring-basic-authentication:强制执行基本身份验证的环形中间件
01-29
当用户试图访问受保护的资源时,服务器会返回一个401未经授权的响应,包含一个WWW-Authenticate头,提示客户端进行身份验证。客户端随后会发送一个新的请求,这次包含了Authorization头,其值为"Basic "加上Base64...
www-authenticate
happyqwz的专栏
02-17 4395
www-authenticate是一种简单的用户身份认证技术。 很多验证都采用这种验证方式,尤其在嵌入式领域中。 优点:方便 缺点:这种认证方式在传输过程中采用的用户名密码加密方式为BASE-64,其解码过程非常简单,如果被嗅探密码几乎是透明的. 服务器收到请求后,首先会解析发送来的数据中是否包含有: Authorization: Basic XXXX=这
Go最新Goby自定义漏洞之EXP_goby写poc,2024年最新渣本逆袭大厂面经分享
最新发布
BlackCATdog的博客
05-16 239
所以接下来,和FOFA一样有个ExploitSteps部分,但是goby相对于FOFA来说好写的很多,只需要将Scanstep部分复制下来即可,这就是说为什么写完PoC部分相当于完成EXP的80%了,然后添加output|lastbody把响应的body展示出来,OK了。剩下就是响应测试部分的填写了,一个判断存在漏洞的部分,在漏洞简介里面截图,可以看到响应的部分,找一个比较唯一的准确的关键参数作为存在漏洞的标识,然后保存。其实这部分,要是细心的小伙伴就能发现Goby和FOFA写EXP是一个样子的。
Http协议WWW-Authenticate
碧血丹心
03-06 5434
HTTP协议有一个叫WWW-Authenticate的头字段,可以用于实现登录验证。它是在RFC 2617中定义的。 当服务器接收到一个request,并在实现下面的代码: [code="java"] http_response.addHeader('WWW-Authenticate', 'Basic realm...'); http_response.setContentType(Mim...
WWW-authenticate 登录验证
ShirleyJade的专栏
11-30 1万+
public class BasicLoginFilter implements Filter { @Override public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain filterChain) throws IOException, ServletException { HttpServ
Python-内网tcphttp穿透支持http设置帐号密码
08-10
服务器会发送一个401未经授权的响应,包含一个WWW-Authenticate头,指明认证的类型。客户端收到后,会在后续的请求中附带Authorization头,包含base64编码的用户名和密码。在Python中,我们可以使用requests库的auth...
认证算法.rar
05-28
当用户试图访问受保护的资源时,服务器会发送一个401 Unauthorized响应,其中包含一个WWW-Authenticate头,指示客户端使用Basic认证。在Basic认证中,用户名和密码组合被编码成Base64格式,然后放在Authorization头...
basic-auth:该存储库用于代码401 Lab
04-04
在用户尝试访问受保护的Web资源时,如果服务器要求身份验证,它会发送一个401未经授权的HTTP响应,并包含一个WWW-Authenticate头,指示客户端使用基本认证。在这个过程中,用户通常会被提示输入用户名和密码。这些...
VC实现重启路由器.pdf
10-09
当访问需要认证的资源时,服务器会返回一个`401 Unauthorized`状态码,并在`WWW-Authenticate`响应头中指定认证方式,如`Basic`,提示客户端提供凭据。客户端随后会在后续请求中携带经过Base64编码的用户名和密码。 ...
HTTP, WWW-Authenticate, Authorization 验证授权 | Apache验证 | Python处理
weixin_33697898的博客
10-25 968
2019独角兽企业重金招聘Python工程师标准>>> ...
osip www-authenticate认证
H265技术专栏
01-05 691
1、www-authenticate简介 www-authenticate是早期的一种简单的,有效的用户身份认证技术。 它是在RFC2617中定义的。 很多网站验证都采用这种简单的验证方式来完成对客户端请求的数据的合法性进行验证。尤其在嵌入式领域中,此方法使用较多。  缺点:这种认证方式在传输过程中是明码传输的,采用的用户名密码加密方式为BASE-64,其解码过程非常简单,网络上很容易搜索到
[转] 用WWW-Authenticate实现登录验证
Deeyac的专栏
08-21 3391
WWW-Authenticate实现登录验证文章来源:http://www.keakon.cn/bbs/thread-1989-1-1.html今天在研究HTTP协议时发现一个叫WWW-Authenticate的头字段,可以用于实现登录验证。它是在RFC 2617中定义的。<br /><br />用法很简单,将状态码设为401,在响应头中加上这个字段即可: 引用:WWW-Authenticate: Basic realm="testrealm@keakon.cn" 浏览器接收到这个响应后,就会弹出这样
WWW-Authenticate实现登录验证
学习笔记
07-29 5285
string base64EncodedAuthorizationString ="username" + ":" + "password"; byte[] binaryData = new Byte[base64EncodedAuthorizationString.Length]; binaryData = Encoding.UTF8.GetBytes(base64EncodedAuthorizationString); base64EncodedAuthorizationSt
www-authenticate认证过程浅析
xhch2009的专栏
07-22 1000
1、www-authenticate简介        www-authenticate是早期的一种简单的,有效的用户身份认证技术。很多网站验证都采用这种简单的验证方式来完成对客户端请求的数据的合法性进行验证。尤其在嵌入式领域中,此方法使用较多。 缺点:        这种认证方式在传输过程中是明码传输的,采用的用户名密码加密方式为BASE-64,其解码过程非常简单,网络上很
WWW-Authenticate 头字段和 Authorization 头字段的区别
yu2yu3yu2的专栏
10-19 364
头字段是客户端向服务器发送的摘要认证响应。这两个头字段在 SIP 摘要认证中协同工作,确保通信的安全性和身份验证。头字段是服务器向客户端发出的认证挑战,而。
[转]www-authenticate认证过程浅析
热门推荐
maoliran的博客
07-06 2万+
一、www-authenticate简介www-authenticate是早期的一种简单的,有效的用户身份认证技术。 很多网站验证都采用这种简单的验证方式来完成对客户端请求的数据的合法性进行验证。尤其在嵌入式领域中,此方法使用较多。 缺点:这种认证方式在传输过程中是明码传输的,采用的用户名密码加密方式为BASE-64,其解码过程非常简单,网络上很容易搜索到编解码的源码。采用这种认证方式对于普通用
说说你对HTTP协议中WWW-Authenticate头部的理解。
长风破浪会有时的博客
05-01 169
举个简单的例子,如果WWW-Authenticate头部的值是“Basic realm='My Website'”,那么它就是在告诉浏览器:“请使用Basic认证方式,认证信息是属于'My Website'这个领域的。”浏览器收到这个信息后,就会帮助用户去准备相应的“门票”(认证信息),然后再次尝试访问资源。想象一下,你去参加一个需要门票的聚会。WWW-Authenticate头部就像是这个门卫一样,它的作用是告诉浏览器:“嘿,这个资源是需要认证的,你得先给我提供一些证明,我才能让你访问。
WWW-Authenticate 基本身份验证的详细步骤
07-11
基本身份验证是一种常见的 HTTP 身份验证方式,通过 WWW-Authenticate 头部字段来指示客户端进行身份验证。下面是基本身份验证的详细步骤: 1. 服务器收到客户端请求时,返回状态码 401 Unauthorized,并在响应头部的 WWW-Authenticate 字段中指定身份验证的类型,例如:Basic realm="realm"。 2. 客户端收到 401 响应后,会弹出一个登录对话框,要求用户输入用户名和密码。 3. 客户端将用户输入的用户名和密码进行 Base64 编码,并在请求头部的 Authorization 字段中附加上 "Basic " 开头的字符串,形成一个凭据。 4. 客户端再次发送带有凭据的请求到服务器。 5. 服务器收到带有凭据的请求后,会解码凭据,并验证用户名和密码的正确性。 6. 如果用户名和密码正确,服务器会返回状态码 200 OK,并处理客户端请求;如果用户名和密码错误,服务器会返回状态码 401 Unauthorized,并要求客户端重新进行身份验证。 这样,通过基本身份验证,客户端可以在每个请求中附加凭据来进行身份验证,确保只有经过授权的用户可以访问受保护的资源。请注意,基本身份验证并不是最安全的身份验证方式,因为凭据是以明文形式通过网络传输的,建议在使用时结合其他安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值