HTTP Authorization

最新推荐文章于 2024-05-01 08:11:18 发布
最新推荐文章于 2024-05-01 08:11:18 发布
阅读量1.1k 收藏
点赞数
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38932035/article/details/101681951
版权

HTTP Authorization 授权流程

在项目中往往需要对访问的请求进行安全认证, 只有认证通过的请求,才能进行相关的操作。
开发者需要颁发 AccessKey 和 SecretKey 给用户 ,用户如果认证授权,将无法调用任何接口。
AccessKey: 用于标识客户身份,在网络请求中会以某种形式传输
SecretKey : 作为私钥形式存储于客户方本地, 不在网络传递,它的作用是对客户方发起的请求进行数字签名,保证该请求是来自指定客户的请求,并且是合法的有效的,
使用 ACCESS_KEY 进行身份识别,加上 SECRET_KEY 进行数字签名,即可完成应用接入与认证授权.

签名格式

Authorization = “Scheme ” + “ ” + AccessKey :Signature;
Signature = Base64(HMAC-SHA1(SecretKey , UTF-8-Encoding-Of( StringToSign ) ) );
StringToSign = HTTP-Verb + "\n" +
               Content-MD5 + "\n" +
               Content-Type + "\n" +
               Date + "\n" +
               URI;

HTTP-Verb 表示请求的方法,如:GET\PUT\POST\DELETE等
Content-MD5 表示请求内容数据的MD5值, 使用Base64编码。当请求的header中包含Content-MD5时,需要在StringToSign中包含,否则用("")替代。
注意:Content-MD5的算法为先对数据做MD5摘要,再将MD5摘要做Base64编码。
Content-Type 表示请求内容的类型.
Date 表示此次操作的时间,且必须为 HTTP1.1 中支持的 GMT 格式。
URI表示用户访问的资源.

Authorization 校验流程

  1. 获取本地access_key以及secret_key;
  2. 获取请求头认证信息Authorization;
  3. 根据颁发给开发用户的 secret_key 计算 Signature, 使用 Base64 和 HMAC-SHA1算法
    signature = Base64(HMAC-SHA1(SecretKey , UTF-8-Encoding-Of( StringToSign ) ) );
    注意:HMAC-SHA1 计算出来的散列值转换成字符串,并且转换成全大写字母,再计算Base64,否则计算不一致;
  4. 将上述信息组装成如下格式 : AccessKey=MACCESSKEYA&Signature=B1JnLMAN%5FBKSKL32FW4IAsklsfb%4kajlfuiJFJH ;
  5. 若Authorization与4一致,则通过认证。
Mr_慕白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mongoose-authorization
05-17
npm install --save mongoose-authorization 入门 'use strict' ; var mongoose = require ( 'mongoose' ) ; var authz = require ( 'mongoose-authorization' ) ; var userSchema = new mongoose . Schema ( { ...
HTTP AUTH 那些事
weixin_30471561的博客
02-13 644
谨以此文献给那些需要实现HTTP AUTH的“程序猿”们。关于HTTP AUTH的文档不多。RFC在 http://www.ietf.org/rfc/rfc2617.txtwiki在 http://en.wikipedia.org/wiki/Basic_access_authentication使用HTTP AUTH需要在server端配置http auth信息(一般是webserver启动的...
HTTP请求首部——Authorization
start_XUEBA的博客
12-10 1万+
前几天的任务需要用到Authorization认证,任务比较急,就照着给的例子写好了,现在任务结束了,还是来了解一下这个AuthorizationAuthorization是一个HTTP安全请求首部,包含了客户端提供给服务器 便于对其自身进行认证的数据。 WWW-Authentication:定义了使用何种验证方式去获取对资源的连接。 如果服务器希望在为用户提供对站点的访问之前先行...
HTTP协议中的Authorization头部如何用于客户端向服务器发送认证信息?
最新发布
长风破浪会有时的博客
05-01 269
具体来说,当我们需要访问一个需要认证的资源时,我们的浏览器会弹出一个窗口让我们输入用户名和密码。首先,我们要明白什么是“认证”。在互联网上,有些资源是需要我们提供用户名和密码才能访问的,比如我们的电子邮箱。当我们输入用户名和密码后,服务器会检查这些信息是否正确,如果正确,就让我们访问资源。这个过程就叫做“认证”。总的来说,Authorization头部就像是我们给服务器的一张“通行证”,里面包含了我们的用户名和密码。服务器收到这张“通行证”后,会检查里面的信息是否正确,如果正确,就让我们访问资源。
深入理解 HTTP Authorization 头:基础知识
LiamHong_的博客
03-08 4017
通过正确使用 HTTP Authorization 头,我们可以确保网络应用的安全性,保护用户资料免受未授权访问的风险。各种认证机制提供了多样化的选择来满足不同的安全需求和场景。因此,在设计和维护网络应用时,了解并恰当实施这些认证机制是确保数据安全的基石。
HTTP完全注解】揭开Authorization神秘的面纱
汪啊汪
03-18 2561
AuthorizationHTTP 提供一个用于权限控制和认证的通用框架,可能有不少小伙伴会感到疑惑"Cookie不就可以做权限控制和认证吗? ",确实如此! Cookie确实是在单个系统内认证用户身份、保持会话状态的有效方式,但如果涉及到多个系统、多个域名或多个应用程序之间认证、授权呢?使用Cookie的话该如何办呢?是不是想想都头皮发麻呢?为解决这个问题, HTTP急需一种更通用、更灵活的身份验证和授权机制,使跨系统和跨域的身份验证和授权管理更容易,这对于现代............
Outlook-Authorization
03-19
3. **使用令牌**: 一旦获得访问令牌,你就可以将其附在HTTP请求头中,向Outlook REST API发送请求以读取、写入或执行其他操作。 在Python中,我们可以使用以下方法实现这些步骤: **1. 安装必要的库:** 安装`...
http鉴权认证
04-03
- 提供的`HTTP Authorization Tool_bin.rar`和`HTTP Authorization Tool`可能是用于测试和管理HTTP鉴权的工具,可以帮助开发者模拟不同的认证场景,调试服务器配置,或者自动化认证过程。 综上所述,HTTP鉴权认证...
mean_authorization
07-08
"mean_authorization"是一个基于MEAN堆栈(MongoDB、Express、AngularJS和Node.js)的应用程序教程项目。这个项目旨在帮助开发者理解如何构建全栈Web应用,将前后端技术有效地整合在一起。以下是对这个项目及其相关...
HttpPost工具
01-29
3. 请求头管理:除了数据本身,HTTP请求还包括各种头部信息,如Content-Type、Authorization等。HttpPost工具允许用户自定义和管理这些请求头,以满足不同服务器接口的要求。 4. 快速响应查看:工具会即时显示...
HTTP基本认证 Authorization
ForestCat的专栏
10-05 849
http协议是无状态的, 浏览器和web服务器之间可以通过cookie来身份识别。 桌面应用程序(比如新浪桌面客户端, skydrive客户端)跟Web服务器之间是如何身份识别呢? 什么是HTTP基本认证 桌面应用程序也通过HTTP协议跟Web服务器交互, 桌面应用程序一般不会使用cookie, 而是把 "用户名+冒号+密码"用BASE64编码的字符串放在http request 中的header Authorization中发送给服务端, 这种方式叫HTTP基本认证(Basic Authenticat
http请求添加Authorization验证
papasnowboy的专栏
12-16 2万+
接触java一年有余,如今第一次动手写相关博客。以往都是在各为前辈的文章里寻求帮助,现在我来分享一些自己遇到的问题。 问题的经过是这样,我写的一个小程序要去公司的一台服务器上抓取一个页面数据,这台服务器前段时间因为故障重启了一下,不知为何再去抓取的时候会报io异常,信息代码401,在网上查了一下,是需要Authorization验证。和同事问到了验证的用户密码,但是不知道怎样在请求时添加认
为什么请求头中是Authorization,而代码中使用HTTP_AUTHORIZATION获取
一枚想要从事互联网金融行业的菜鸡
04-02 491
被用作标识是因为在Django框架(以及其他许多Web框架)内部处理HTTP请求时的一个约定。当HTTP请求通过Web服务器(如Apache, Nginx等)传递给Django应用时,所有的HTTP头部信息都会被转换成META信息(一个字典),这是Django用来存储HTTP请求头部的地方。这是因为Django(以及其他遵循CGI规范的Web框架)遵循了这种将HTTP头部名称标准化的处理方式,以确保一致性和易用性。:所有的HTTP头部名称都会被转换成大写,并且在前面加上“:在HTTP头部名称中的连字符(
http请求的时候Header加 Authorization值实现方式
热门推荐
kinghuahua
05-08 5万+
http请求的时候Header加 Authorization值实现方式
HTTP权限验证(nginx)
Cartel的专栏
04-27 816
本文讲述了http服务器nginx的权限验证,并用一个简单的验证程序进行说明。
基于Token的WEB后台认证机制
weixin_30845171的博客
06-22 4287
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采...
MD5实现HTTP摘要认证
weixin_43606861的博客
08-20 1237
摘要算法又称哈希算法,它表示输入任意长度的数据,输出固定长度的数据,它的主要特征是加密过程不需要密钥,并且经过加密的数据无法被解密,目前可以被解密逆向的只有CRC32算法,只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的密文。消息摘要算法不存在密钥的管理与分发问题,适合于分布式网络上使用。由于其加密计算的工作量相当巨大,所以以前的这种算法通常只用于数据量有限的情况下的加密,消息摘要算法分...
http authorization 基本认证
天马行空的专栏
07-26 2300
最近做的一个项目需要与其它系统对接接口,对方提供的是webservice的接口,并且需要Basic Authorization基本认证,一开始都是用postman请求,用户名和密码需要填在Basic Authorization中,类型是Basic Auth。但是在java的http请求中,不知道如何去实现Basic Authorization基本认证。 在请求...
http authorization
03-16
HTTP授权是一种机制,用于在HTTP请求中提供身份验证信息,以允许或拒绝对受保护资源的访问。它通常使用用户名和密码进行身份验证,并可以使用不同的身份验证方案,如基本身份验证、摘要身份验证和OAuth等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值