《HTTP权威指南》笔记摘要Day9

最新推荐文章于 2024-02-02 10:04:28 发布
最新推荐文章于 2024-02-02 10:04:28 发布
阅读量332 收藏
点赞数
分类专栏: 后端小白的个人提升计划 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43823924/article/details/110569860
版权

《HTTP权威指南》笔记摘要Day9

摘要认证的改进

  1. 永远不会以明文的方式发送密码
  2. 可以防止恶意用户捕获并重放认证过程
  3. 可以有选择地防止对报文内容地篡改
  4. 防范其他几种常见的攻击方式

摘要认证不是最安全地协议

摘要函数-MD5

将任意长度的字节序列转换为一个128位置的摘要

有时将摘要函数称为加密的校验和,单向散列函数和指纹函数

摘要认证的具体改进

  1. 用摘要保护密码
  2. 用随机数防止重攻击

摘要算法的输入数据

  • 由单向散列函数H(d)与摘要KD(s,d)组成的一对函数,s表示密码,d表示数据
  • 一个包含安全信息的数据块,成为A1
  • 一个包含请求报文中非保密属性的数据库,称为A2

A1与安全性相关,A2与报文相关

H和KD处理A1和A2,产生摘要

MD5与MD5-sess

  • MD5为每条请求运行单向散列函数。A1是由冒号连接起来的用户名、域个密码的三元组
  • MD5-sess中,只在第一次www-Authenticate握手时运行一次散列函数。对用户名、域和密码进行一次CPU密集型散列,并将其放在当前随机数和客户端随机数前面

RFC2617为A2定义的两种策略

  1. 只包含HTTP请求方法和URL。当qop=“auth”时使用
  2. 添加报文实体的主体部分,以提供一定程度的报文完整性检测,,当qop="auth-int"时使用

随机数过期

客户端随机数过期后,服务器仍然接收,且返回带有新随机数的401响应,指定这个响应stale = true,让客户端重试这条请求,客户端不需要重新输入密码等信息

预授权

预授权减少了报文的数量

摘要认证中的三种预授权方式

  • 服务器预先在Authentication-info成功首部中发送下一个随机数
  • 服务器允许在一小段时间内使用同一个随机数
  • 客户端和服务器使用同步的,可预测的随机数生成算法

预先生成下一个随机数

缺点:破坏了对同一台服务器多条请求的管道化功能,因为发布下一条请求前,一定要收到收到下一个随机值才行。而管道化时避免延迟的一个基本技术,所以这种做法会造成很大的性能损失

受限的随机数重用机制

缺点:重用随机数会使得攻击者更容易成功实行重放攻击。
虽然这降低了安全性,但重用的随机数生存期时可控的,所以应该可以在安全和性能间找到平衡

同步生成随机数

安全性取决于开发者设计的同步生成随机数算法

随机数的选择

RFC2617 推荐使用的随机数公式:
BASE64(time-stamp H(time-stamp “:” ETag “:” private-key))

对称认证

RFC 2617扩展了摘要认证机制,允许客户端对服务器进行认证。这是通过客户端随机数来实现的,服务器会根据它对共享保密信息真的正确了解生成正确的响应摘要。然后服务器在Authrorization-Info中返回给客户端

Noob_Boy
关注
专栏目录
登录功能:md5加密与分布式Session
至尊宝
07-16 1万+
1.依赖jar包 <!--md5工具类--> <dependency> <groupId>commons-codec</groupId> <artifactId&gt
简单抓包分析:LDAP的MD5方式认证过程
weixin_34067102的博客
01-19 1769
客户端发送绑定请求 1.初始化认证阶段,客户端发送绑定请求 2.发送内容: 协议版本:3 认证机制:sasl 认证方式:md5 服务器响应绑定结果 1.服务器返回一段由16进制加密的内容serverSaslCreds 2.the server requires the client to send a new bind reque...
前端学HTTP摘要认证
weixin_33736048的博客
12-17 201
前面的话   上一篇介绍的基本认证便捷灵活,但极不安全。用户名和密码都是以明文形式传送的,也没有采取任何措施防止对报文的篡改。安全使用基本认证的唯一方式就是将其与SSL配合使用   摘要认证与基本认证兼容,但却更为安全。本文将详细介绍绍摘要认证的原理和实际应用   工作原理   摘要认证是另一种HTTP认证协议,它试图修复基本认证协议的严重缺陷。具体来说,摘要认证进行了如下改进:永远不会...
nodejs如何实现Digest摘要认证?
02-11 2026
如何实现摘要认证
Java【算法 04】HTTP的认证方式之DIGEST认证详细流程说明及举例
Java与大数据相关实践内容分享!
08-11 3075
HTTP的认证方式之DIGEST认证详细流程说明及举例
读书笔记:Java 性能权威指南笔记.zip
07-19
读书笔记:Java 性能权威指南笔记
HTTP 权威指南 PDF
12-18
HTTP 权威指南 PDF
读书笔记:Netty权威指南 笔记Note of The Definitive Guide.zip
最新发布
07-22
读书笔记:Netty权威指南 笔记Note of The Definitive Guide
Hadoop权威指南----读书笔记.pdf
01-09
Hadoop权威指南----读书笔记
GB28181开发-2-客户端-注册和注销
qq_25594303的博客
02-02 1212
1.
温故而知新:asp md5加密 和cookies /session 小应用
weixin_30572613的博客
05-12 70
很久没有看asp的代码了,近日,想到以前没有研究透的asp中md5算法和应用代码,是在一个图书管理系统中的,我以前就分离代码出来,然后一步步研究.分离后,在更改代码试验中,居然很多写成了c代码,哈哈,好笑.不过,还是勉强搞好了。知道了,用法,以后更改就方便多了。在asp中,因为我没有用其他的编译器,运行错误也没有什么提示哦,,基本就是看代码那里可能出错了。还好啦.倒是要感谢开源的朋友. 不过,因...
http协议之digest(摘要)认证
热门推荐
jszj的专栏
05-13 4万+
参考网址: http://www.faqs.org/rfcs/rfc2617.html http://www.faqs.org/rfcs/rfc1321.html http://www.cnblogs.com/my_life/articles/2285649.html http://blog.sina.com.cn/s/blog_53b15ed5010006t9.html http://
【读】这一次,让我们再深入一点 - HTTP摘要认证
Jinmindong
12-21 271
我们了解到了HTTP认证框架中的基本认证. 它是基于质询/响应模型的.这篇中, 我们粗略的了解下另一种认证协议: 摘要认证. 当然摘要认证也不是最安全的认证方式, 并且至今没有广泛运用. 但是其相关概念还是值得学习的.下面进入正文!不会以明文的方式发送密码.可以防止恶意用户捕获和重放认证的握手过程.可以有选择的防止对报文内容的篡改.防范其他几种常见的攻击方式.
Digest Authentication 摘要认证(转载)
q113380947的博客
03-11 1415
PJSIP 服务器 digest 用户认证 response生成算法
【转载】理解SIP的认证
gnuhpc的专栏
04-29 3072
理解SIP的认证 From http://blog.sina.com.cn/s/blog_4b839a1b01000bqq.html  1. 认证和加密 认证(Authorization)的作用在于表明自己是谁,即向别人证明自己是谁。而相关的概念是MD5,用于认证安全。注意MD5仅仅是个hash函数而已,并不是用于加密。因为hash函数处理后的数据没法进行反向恢复
两次MD5加密,分布式Session
zgq0622的博客
05-24 267
两次MD5加密 public class MD5Util { public static String md5(String src){ return DigestUtils.md5Hex(src); } private static final String salt="1a2b3c4d"; public static String inputPassToFormPass(String inputPass){ String str= ""+sa
用户身份认证
SillyLee1的博客
10-13 2408
0. 背景 计算机本身无法判断坐在显示器前的使用者的身份,也无法确认网络的另一端的是谁。为了明确是谁在访问服务器,必须让客户端自报家门。 通常核对一些登录者本人的信息: 密码:只有本人知道的字符串信息 动态令牌:仅限本人持有的设备内显示的一次性密码 数字证书:仅限本人(终端)持有的信息 生物认证:指纹和虹膜等本人生理信息 身份证号、手机号等:仅限本人持有的信息 1. Basic 认证 Basic 身份认证,是 HTTP 1.0 中引入的认证方案之一。虽然方案比较古老,实现简单,同时存在
xmpp digest-md5 算法 go版本
sdsabc2000的专栏
11-28 1027
package main import "fmt" import "crypto/md5" import "encoding/hex" func main() {   response()     } func strMd5(x string) string { h := md5.New()      h.Write([]byte(x)) /
jQuery权威指南:精选笔记与实用技巧
《jQuery权威指南》读书笔记提供了一段关于jQuery选择器的深入解析,这对于理解和运用这个流行的JavaScript库至关重要。jQuery的选择器系统强大且灵活,它包括多种类型,有助于精确地定位和操作DOM元素。 首先,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值