HTTP的 Basic 验证

最新推荐文章于 2022-10-21 17:12:33 发布
最新推荐文章于 2022-10-21 17:12:33 发布
阅读量167 收藏
点赞数
文章标签: 运维 web.xml javascript ViewUI
原文链接:http://www.cnblogs.com/lechie/archive/2012/03/13/2393531.html
版权

什么是HTTP Basic Authentication?
在wiki上有详细的解释: http://en.wikipedia.org/wiki/Basic_authentication_scheme
HTTP Basic Authentication是一个定义在HTTP/1.1规范中的验证机制。这种机制是以用户名和密码为基础的。一个web server要求一个web client去验证一个用户。作为request的一部分,web server 传递被称之为realm的字符串,用户就是在它里面被验证的。注意:Basic Authentication机制的realm字符串不一定反映任何一种安全方针域。Web client得到这些用户名和密码,然后把它传递给web server。Web server然后在一个特定的领域验证这些用户。
由于密码是使用一种64位的编码来传递,而且目的server没有验证,所以Basic Authentication不是一种安全的验证协议。
在访问一个需要 HTTP Basic Authentication 的URL的时候,如果你没有提供用户名和密码,服务器就会返回401,
如果你直接在浏览器中打开,浏览器会提示你输入用户名和密码。
你可以尝试点击这个url看看效果:http://api.minicloud.com.cn/statuses/friends_timeline.xml  
如果想要在发送请求的时候添加 HTTP Basic Authentication 认证信息到请求中,有两种方法:  
一是在请求头中添加Authorization:
Authorization: "Basic 用户名和密码的base64加密字符串"  
二是在url中添加用户名和密码:  
http://userName:password@api.minicloud.com.cn/statuses/friends_timeline.xml  
  
//需要Base64见:http://www.webtoolkit.info/javascript-base64.html  
function make_base_auth(user, password) {  
  var tok = user + ':' + pass;  
  var hash = Base64.encode(tok);  
  return "Basic " + hash;  
}   
  
var auth = make_basic_auth('QLeelulu','mypassword');  
var url = 'http://example.com';   
  
// 原始JavaScript  
xml = new XMLHttpRequest();  
xml.setRequestHeader('Authorization', auth);  
xml.open('GET',url)   
  
// ExtJS  
Ext.Ajax.request({  
    url : url,  
    method : 'GET',  
    headers : { Authorization : auth }  
});   
  
// jQuery  
$.ajax({  
    url : url,  
    method : 'GET',  
    beforeSend : function(req) {  
        req.setRequestHeader('Authorization', auth);  
    }  
}); 
HTTP基本认证(HTTP Basic Athorization)过程分析
在HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份证的方法,当一个客户端向HTTP服务 器进行数据请求时,如果客户端未被认证,则HTTP服务器将通过基本认证过程对客户端的用户名及密码进行验证,以决定用户是否合法。
客户端在接收到HTTP服务器的身份认证要求后,会提示用户输入用户名及密码,然后将用户名及密码以BASE64加密,加密后的密文将附加于请求信息中, 如当用户名为anjuta,密码为:123456时,客户端将用户名和密码用“:”合并,并将合并后的字符串用BASE64加密为密文,并于每次请求数据 时,将密文附加于请求头(Request Header)中。
   HTTP服务器在每次收到请求包后,根据协议取得客户端附加的用户信息(BASE64加密的用户名和密码),解开请求包,对用户名及密码进行验证,如果用 户名及密码正确,则根据客户端请求,返回客户端所需要的数据;否则,返回错误代码或重新要求客户端提供用户名及密码。
整个交互过程如下(模拟个登录GOOGLE首页的过程,并假设登录GOOGLE需要认证):
1,客户端向服务器请求数据,请求的内容可能是一个网页或者是一个其它的MIME类型,此时,假设客户端尚未被验证,则客户端提供如下请求至服务器:
Get /index.html HTTP/1.0
Host:www.google.com
这段信息表明,客户端向主机www.google.com请求其位于根目录下的index.html网页,使用http1.0协议。
2,服务器向客户端发送验证请求代码401,服务器返回的数据大抵如下:
HTTP/1.0 401 Unauthorised
Server: SokEvo/1.0
WWW-Authenticate: Basic realm="google.com"
Content-Type: text/html
Content-Length: xxx
<HTML>
<HEAD>
    <TITLE>Error</TITLE>
    <META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-1">
</HEAD>
<BODY><H1>401 Unauthorised.</H1></BODY>
</HTML>
3,当符合http1.0或1.1规范的客户端(如IE,FIREFOX)收到401返回值时,将自动弹出一个登录窗口,要求用户输入用户名和密码。
4,用户输入用户名和密码后,将用户名及密码以BASE64加密方式加密,并将密文放入前一条请求信息中,则客户端发送的第一条请求信息则变成如下内容:
Get /index.html HTTP/1.0
Host:www.google.com
Authorization: Basic xxxxxxxxxxxxxxxxxxxxxxxxxxxx
注:xxxx....表示加密后的用户名及密码。
5,服务器收到上述请求信息后,将Authorization字段后的用户信息取出、解密,将解密后的用户名及密码与用户数据库进行比较验证,如用户名及密码正确,服务器则根据请求,将所请求资源发送给客户端:
HTTP/1.0 200 OK
Server: www.google.com/http1.0
Content-Type: text/html
Content-Length: xxxx
<html>
网页内容
</html>
如用户名及密码不正确,请返回第2步,重新向客户端发送用户验证请求。
6,在以后的整个通信会话中,客户端均会在请求包中附加入加密后的用户信息。
   HTTP基本认证的目标是提供简单的用户验证功能,其认证过程简单明了,适合于对安全性要求不高的系统或设备中,如大家所用路由器的配置页面的认证,几乎 都采取了这种方式。其缺点是没有灵活可靠的认证策略,如无法提供域(domain或realm)认证功能,另外,BASE64的加密强度非常低,可以说仅 能防止sohu的搜索把它搜到了。当然,HTTP基本认证系统也可以与SSL或者Kerberos结合,实现安全性能较高(相对)的认证系统。
想起用basic验证的服务器端的设置:
方式一:在web.xml中配置,可以参考CATALINA_HOME/server/manager/WEB-INF/web.xml
方式二:在程序中coding,参考如下:
if(request.getHeader("Authorization")==null){ 
    response.setStatus(401); 
    response.setHeader("WWW-authenticate","Basic realm=\"请输入管理员密码\""); 
}else if( !(request.getHeader("Authorization").equals(pass))){
    response.setStatus(401);     
    response.setHeader("WWW-authenticate","Basic realm=\"用户名或者密码错误\"");
    out.print("对不起你没有权限!!");
    return;
}
GET /manager HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Authorization: Basic <base64encode(user:pass)>
方法一:直接使用new sun.misc.BASE64Encoder().encode(byte[])构造HTTP头
方法二:  Authenticator.setDefault(new AuthImpl()); 然后使用HttpURLConnection连接即可,这种方式更灵活
class AuthImpl extends Authenticator {
 protected PasswordAuthentication getPasswordAuthentication() {
  String user = "admin";
  char pass[] = "admin".toCharArray();
nginx配置
虽然resin的配置也可以达到效果,但是毕竟是配置到了工程文件中,以后定期更换用户名与密码,都得更新项目描述符;而且有个更要命的问题,如果一个resin上有多个项目的话,一次更新就需要修改所有相关项目的web.xml文件,太麻烦了。在nginx上也可以配置basic认证,而且更简单。
nginx的http basic认证密码是用crypt(3)加密的,可以试用apache的htpasswd生成密码文件。首先进入apache的安装目录,进入apache/bin/目录下,可以看到htpasswd,输入如下命令生成密码文件。
htpasswd -c -d pass_file user_name
其中-c表示生成文件,-d表示是以crypt加密,pass_file是密码文件名,user_name表示basic认证的用户名,回车后会提示输入密码,然后再次输入确认,生成密码文件完成。
然后就是配置nginx,nginx的认证需要配置到location下,如下所示。
location ~ /admin/manage {
    auth_basic  "Auth";
    auth_basic_user_file  pass_file;
}
其中Auth可以随意设置,它只不过是当需要认证时弹出窗口的服务显示名称而已,pass_file就是我们之前生成的密码文件,这里要注意nginx 0.6.7开始,auth_basic_user_file的相对目录是nginx_home/conf,以前版本的相对目录是nginx_home,现在只要访问包含/admin/manage路径的资源都会弹出认证框,而且对于一个nginx代理了n个web服务的情况,需要更换用户名与密码时,只需要将密码文件替换一次即可,比第一种方式方便可靠了很多。

转载于:https://www.cnblogs.com/lechie/archive/2012/03/13/2393531.html

weixin_30448603
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Http Basic Authentication Scheme学习及实验
chen_410063005的专栏
11-19 1089
  1. Basic Authentication Scheme     用户代理必须对于每个领域(realm)通过用户标识(user-ID)及口令来对自身进行授权,这是基本授权方案的工作模式。Realm值应当被看作不透明的字符串,该值将用于同服务器端其它的realm值相比较。只有用户标识及口令通过受保护资源的认证,服务器才会给请求授权。授权参数没有可选项。在接收到对受保护区域的未经认证的资源...
从零开始手写一个http-basic认证服务器
lzy_zhi_yuan的博客
05-16 1001
手写httpbasic协议服务器..
Spring Security(九)-- 理解HTTP Basic 和基于表单的登陆身份验证
学习不止境的博客
10-21 2776
如果在身份验证失败的情况下,系统的客户期望响应中有特定的内容,就需要这样做。我们可能需要添加或删除一个或多个头信息。或者可以使用一些逻辑来过滤主体信息,以确保应用程序不会向客户端公开任何敏感数据。为了自定义失败身份验证的响应,可以实现AuthenticationEntryPoint。它的commence()方法会接收HttpServletRequest\HttpServletResponse和导致身份验证失败的AuthenticationException。
ASP.NETCore编程实现基本认证
dotNET跨平台
01-03 412
HTTP基本认证在HTTP中,HTTP基本认证(Basic Authentication)是一种允许浏览器或其他客户端程序使用(用户名,口令)请求资源的身份验证方式,不要求coo...
接口测试 之 HTTP 1.1 认证之BASIC认证
weixin_39472415的博客
09-22 1653
basic认证介绍认证步骤步骤图解BASIC 认证的的缺点测试:认证失败测试:认证成功 介绍 BASIC 认证(基本认证)是从HTTP/1. 1 就定义的认证方式,是Web服务器与通信客户端之间进行的认证 认证步骤 步骤1:当请求的资源需要 BASIC 认证时,服务器会随状态码 401 Authorization Required,返回 WWW-Authenticate 首部字段(响应头)的响应。该字段内包含认证的方式(BASIC)及Request-URI 安全域字符串(realm)。 步骤2:接收到状
webService添加basic验证
01-12
webService添加basic验证,为了WebService的安全,将webservice添加basic验证,用户在调用时需要提供授权信息进行调用
详解Spring Security中的HttpBasic登录验证模式
08-25
HttpBasic登录验证模式是Spring Security实现登录验证最简单的一种方式,也可以说是最简陋的一种方式,这篇文章主要介绍了Spring Security的HttpBasic登录验证模式,需要的朋友可以参考下
basic-auth-django:Django中的HTTP基本身份验证实现
05-07
Django中的HTTP基本身份验证实现教程:
koa-http-basic-auth::seedling:用于koa的HTTP基本身份验证中间件
02-03
koa-http-basic-auth 安装 npm npm install --save koa-http-basic-auth 纱 yarn add koa-http-basic-auth 用法 const Koa = require ( 'koa' ) ; const basicAuth = require ( 'koa-http-basic-auth' ) ; const ...
nginx添加php basic验证
08-05
NULL 博文链接:https://zlr.iteye.com/blog/2041175
HTTP基础认证Basic Authentication
03-21 325
HTTP基础认证Basic Authentication Basic Authentication是一种HTTP访问控制方式,用于限制对网站资源的访问。这种方式不需要Cookie和Session,只需要客户端发...
BA(Basic authentication)认证实践
一不小心吃太撑了
03-30 3036
1、概念介绍 Basic authentication:是一种最简单的对Web资源进行访问控制的方法,属应用层的安全保障手段。常用的签名算法有:base64、HmacSHA1 1)优点:简单 服务器无需维护session、cookie,方便curl测试。 甚至可以不用登陆界面 使用HTTP header中的标准字段,所以也不需要握手 2)缺点:如果只采用通过base64这种签名算法进行传输是不行的,因为很容易就被解码。所以为了保证BA的安全,要通过私钥定制签名算法 2、BA认证的过程 案例
浏览器-基本认证(Basic Authentication)-摘要认证(digest authentication)=spring boot实现demo
privateobject的博客
10-09 2455
> 平时开发的 java web 网站登录,都是通过表单提交登录信息。有时一些中间件登录是浏览器弹窗,没有看到表单实现代码。故通过查询,发现两种 HTTP 简单认证: 基本认证( Basic Authentication )、摘要认证( digest authentication )等,本次通过 java实现 spring boot 基本和摘要认证。
转: 如何使用HttpClient认证机制
ugibb510的专栏
09-10 194
如何使用HttpClient认证机制本文介绍HttpClient的认证机制,并给出示例代码。 author: ZJ 07-11-21 Blog: http://zhangjunhd.blog.51cto.com/ 本文出自 “子 孑” 博客,请务必保留此出处http://zhangjunhd.blog.51cto.com/113473/51919英文版(无代码示例): http://hc....
HTTP基本认证(Basic Authentication)
热门推荐
一个写了10年bug的程序员日常笔记。
11-30 3万+
在浏览网页时候,浏览器会弹出一个登录验证的对话框,如下图,这就是使用HTTP基本认证。 1、 客户端发送http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的话, 服务器会返回一个401 Unauthozied给客户端,并且在Response 的 header “WWW-Authenticate” 中添加信息。 如下图。2、:浏览器在接受到401 Unautho
39.BasicAuthentication认证
weixin_43247178的博客
10-09 328
BasicAuthentication认证介绍 BasicAuthentication使用HTTP基本的认证机制 通过用户名/密码的方式验证,通常用于测试工作,尽量不要线上使用 用户名和密码必须在HTTP报文头部,为 Authorization 属性提供值为 Basic amFjazpmZWl4dWVsb3ZlMTAw 的方式提供 其中 Basic 字符串是键,后面的一串乱码是通过base6...
手工实现HttpBasic校验
weixin_30847939的博客
05-23 108
HttpBasic: 是RFC中定义的一种控制HTTP协议访问资源的方式。具体当HTTP请求受限资源时,就需要在请求头中添加以"Authorization"为key的header,value的具体形式是"Basic <credentials>", 其中<credentials> 是以“${username}:${password}"进行BASE6...
访问HTTP Basic Authentication认证
weixin_39833509的博客
07-02 625
转自:https://blog.csdn.net/u011181633/article/details/43229387 http协议是无状态的, 浏览器和web服务器之间可以通过cookie来身份识别。 桌面应用程序(比如新浪桌面客户端, skydrive客户端)跟Web服务器之间是如何身份识别呢? 什么是HTTP基本认证 桌面应用程序也通过HTTP协议跟Web服务器交互, 桌面应...
访问需要HTTP Basic Authentication认证的资源的各种语言的实现
baimingyong007的专栏
04-27 909
什么是HTTP Basic Authentication?直接看http://en.wikipedia.org/wiki/Basic_authentication_scheme吧。 在你访问一个需要HTTP Basic Authentication的URL的时候,如果你没有提供用户名和密码,服务器就会返回401,如果你直接在浏览器中打开,浏览器会提示你输入用户名和密码(google浏览器不会,bug?)。你可以尝试点击这个url看看效果:http://api.minicloud.com.cn/statuse
http basic
最新发布
07-27
HTTP Basic Authentication 是一种基于 HTTP 协议的身份验证方法。它通过在 HTTP 请求的头部中添加一个 Authorization 字段来传递用户名和密码。具体来说,这个字段的格式为 "Basic <credentials>",其中 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值