构建RESTful Web Service - 验证的实现和使用(HTTP 基本认证)

最新推荐文章于 2021-08-11 20:27:00 发布
最新推荐文章于 2021-08-11 20:27:00 发布
阅读量212 收藏
点赞数
分类专栏: php 文章标签: Web PHP Ajax JavaScript Access ViewUI
因为RESTful的无状态特性,导致无法知道当前的请求方是否可靠,所以不得不对每次请求进行验证。但是如何更语义化的将需要验证的信息附加到HTTP里呢?现在比较常见的方式是把验证信息作为参数发送过去,但是这样会违反RESTful的原则。例如,GET /user/1/xx验证信息xx。幸好的是HTTP协议本身定义了两种认证方式,Basic和Digest。

[size=large][b]一、HTTP 基本认证(Basic Athorization)[/b][/size]
[size=medium][b]I.简介[/b][/size]
HTTP基本认证比较简单,明文发送,没有签名,安全性低,没作用域,只能适用于一般场合。

整个交互过程如下:
[list=1]
[*]用户访问需要认证的页面
[*]服务端验证失败,响应401状态码,并响应WWW-Authenticate报头
[*]客户端收到WWW-Authenticate报头,表示要提供认证信息
[*]客户端将用户名和密码使用:号连接,并base64编码后方在报头里发送回服务端
[/list]例子:
1.客户端发起请求,无发送认证信息: 
GET /private/index.html HTTP/1.0
Host: localhost

2.服务端响应 
HTTP/1.0 401 Authorization Required
Server: HTTPd/1.0
Date: Sat, 27 Nov 2004 10:18:15 GMT
WWW-Authenticate: Basic realm="Secure Area"
Content-Type: text/html
Content-Length: 311

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
 "http://www.w3.org/TR/1999/REC-html401-19991224/loose.dtd">
<HTML>
  <HEAD>
    <TITLE>Error</TITLE>
    <META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-1">
  </HEAD>
  <BODY><H1>401 Unauthorized.</H1></BODY>
</HTML>

3.客户端发起有认证信息的请求 
GET /private/index.html HTTP/1.0
Host: localhost
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

4.服务端响应 
HTTP/1.0 200 OK
Server: HTTPd/1.0
Date: Sat, 27 Nov 2004 10:19:07 GMT
Content-Type: text/html
Content-Length: 10476

[size=medium][b]II.服务端的实现[/b][/size]
认证失败响应 
header('WWW-Authenticate: Basic realm="Test"');
header('HTTP/1.1 401 Unauthorized');

客户端发送过来的用户名和密码通过 $_SERVER['PHP_AUTH_USER'] 和 $_SERVER['PHP_AUTH_PW'] 获得

[size=medium][b]III.客户端的使用[/b][/size]
[b]1.PHP/cURL[/b]
只需两个设置就可以实现HTTP 基本认证。 
curl_setopt($ch, CURLOPT_HTTPAUTH, CURLAUTH_BASIC);
curl_setopt($ch, CURLOPT_USERPWD, 'username:password');


[b]2.Javascript/AJAX[/b]
XMLHttpRequest对象的open方法提供了设置参数 
xhr.open("GET", "/", true, "username", "password")


如果使用jQuery的话,用$.ajax方法 
$.ajax({username : "username", password : "password"})


[b]3.Linux/cURL[/b]
命令行下使用cURL发起请求 
curl -u username:password http://localhost/


参考资料:
[url=http://www.ietf.org/rfc/rfc2617.txt]HTTP Authentication: Basic and Digest Access Authentication[/url]
[url=http://en.wikipedia.org/wiki/Digest_access_authentication]Digest access authentication[/url]
[url=http://en.wikipedia.org/wiki/Basic_access_authentication]Basic access authentication[/url]
[url=http://hi.baidu.com/thinkinginlamp/blog/item/16f6d933f131b644ad4b5f98.html]Form形式的HTTP Basic Authentication[/url]
williams2222
关注
专栏目录
Web后端语言模拟http请求 带用户名和密码 实例代码大全
hftyfdg的博客
01-24 593
Web后端语言模拟http请求 带用户名和密码 实例代码大全
WebService 用户名密码验证
weixin_30580341的博客
08-28 678
在项目开发的过程中,WebService是经常要用的,当调用WebService方法时,需要经过服务的验证才可以调用,一般就是用户名/密码验证,还有一个就是证书.下面程序使用的是用户名/密码的方式,很简单的一个程序. 项目截图: 先看服务端的代码(ws_Service) MySoapHeader.cs 这里通过继承SoapHeader实现对用户名/密码的验证 public c...
测试RESTful服务的客户端
最佳 Java 编程
05-11 287
开发使用RESTful Web API的应用程序可能意味着开发服务器和客户端。 为服务器端编写集成测试可以像使用Arquillian来启动服务器一样容易,并且可以通过REST确保测试服务是否按预期工作。 问题是如何测试客户端。 在本文中,我们将了解如何使用模拟来测试客户端。 简要描述一下,为了测试客户端,我们需要一个本地服务器,该服务器可以返回记录的JSON响应。 rest-client-...
ubuntu 服务器子账户密码修改,ubuntu server下 web 配置站点访问用户和密码进行授权访问...
weixin_42303389的博客
08-11 392
nginx提供了ngx_http_auth_basic_module 模块实现让用户只有输入正确的用户名密码才允许访问web内容。默认情况下,nginx 已经安装了该模块。我们只需要给配置一个用户名和密码的文件,就可以实现所需功能。这里要用到一个加密工具htpasswd,它是包含在apache2-utils包中,如果web服务用的是apache2那么它默认是安装的,我们目前使用web服务是ngi...
restful-web-service
03-18
RESTful Web服务是一种基于HTTP协议的、轻量级的网络通信方式,广泛应用于现代Web应用...以上内容涵盖了使用Java和Spring框架构建RESTful Web服务的基本概念和技术要点,实际开发中还需要结合具体需求进行调整和优化。
Spring-Boot-Restful-Web-Service
04-01
6. **安全控制**: Spring Boot集成了Spring Security,可以轻松实现认证(Authentication)和授权(Authorization)。 7. **Swagger**: 可以集成Swagger来生成API文档,方便开发者理解和使用API。 通过以上知识点...
使用Springboot系统构建RESTful Web服务.pdf
最新发布
07-05
通过本篇文章的学习,我们不仅掌握了如何使用Spring Boot快速构建RESTful Web服务的基本技能,还深入了解了RESTful架构的设计原则及其在实际应用中的实现细节。希望这些知识点能够帮助读者在未来的工作中更加高效地...
web-service-express:Nodejs和Express中的Restful Web服务
05-17
- **认证与授权**:对于需要验证身份的API,可以使用JWT(JSON Web Tokens)或OAuth等技术实现安全的认证和授权。 通过学习和实践Node.js与Express,开发者可以快速构建出功能丰富的RESTful Web服务,满足各种Web...
WebService带用户名密码验证(复习用)
baimanmu3398的博客
02-25 1332
在项目开发的过程中,WebService是经常要用的,当调用WebService方法时,需要经过服务的验证才可以调用,一般就是用户名/密码验证,还有一个就是证书.下面程序使用的是用户名/密码的方式,很简单的一个程序. 先看服务端的代码(ws_Service) MySoapHeader.cs 这里通过继承SoapHeader实现对用户名/密码的验证 ...
20150924 Web Server(Http服务)
weixin_33953249的博客
10-06 210
第一:Web Service基础 @1:补充 TCP、UDP OSI模型,TCP(应用、表示、会话)资源子网,下四具为通信子网。 前三层在用户进程进行(用户空间用户程序,后四层在内核中。 Ip地址主机至主机(通信双方) 数据链路层mac设备到设备之间的通信 TCP/IP提供进程地址(端口号) TCP:面向链接在通信前创建虚拟链...
webservice 服务端设置用户访问权限 登录密码
是你喜欢的草莓味的博客
01-16 2948
tomcat-user.xml 里面配置登录的用户密码 <role rolename="saploginuser"/> <user username="ykjt_admin" password="ykjt_123123" roles="saploginuser"/> 项目web.xml 里面配置用户验证方式 <security-constraint> <web-resource-collection> <http-method&g.
HTTP使用BASIC认证的原理及实现方法
weixin_34122810的博客
12-15 152
HTTP使用BASIC认证的原理及实现方法 上一篇 / 下一篇  2011-10-19 15:56:15 / 个人分类:java 查看( 4555 ) / 评论( 5 ) / 评分( 10 / 0 ) 一.  BASIC认证概述 在HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份证的方法,当一个客户端向HTTP服务器进行数据请求...
RESTful Web Service 的安全(token 认证方式)以及性能
热门推荐
yinxianluo的专栏
11-19 1万+
可扩展性(scalability)和可用性(availability)  custom token authentication 使用一个独一无二的标志,来标示每一次的数据请求。 这个标志有两种用法:1.它可以作为URI的 2.它可以加入到HTTP的请求头中。 @Path("/users/token={token}") public class UsersResource
如何实现RESTful Web API的身份验证
anw53724的博客
01-18 493
最近想拿一个小项目来试水RESTful Web API,项目只有几个调用,比较简单,但同样需要身份验证,如果是传统的网站的话,那不用说,肯定是用户名+密码在登录页获得登录Token,并把登录Token记在Cookie和Session中作为身份标识的这种方式,但现在不同了,关键是RESTful,这意味着我们设计出来的这些API是无状态的(Stateless),下一次的调用请求和这一次的调用...
RESTful Web Service - http身份登录认证实现使用(一)
HH出状猿的专栏
09-08 2957
RESTful Web Service - http身份登录认证实现使用(一) 一、概述:                  因为RESTful的无状态特性,导致无法知道当前的请求方是否可靠,所以不得不对每次请求进行验证。但是如何更语义化的将需要验证的信息附加到HTTP里呢?现在比较常见的方式是把验证信息作为参数发送过去,但是这样会违反RESTful的原则。例如,GET /user/1/x
JAX-RS RESTful webservice 服务端及客户端实现(基于HTTPS双向认证)
学习记录和开发记录
10-18 5936
在ApacheCXF的Sample里以及网上很多有关RESTful HTTPS双向认证的文章介绍仅仅是理论,没有涉及实际环境的实现(客户端和服务端都是localhost);这几天使用Apache的CXF以及 Apache portable HttpClient实现跨IP的JAXRS HTTPS双向认证实现。 在实践中发现tomcat版本7.0.70和7.0.68在TLS/SSL支持上也存在差异。
spring mvc 通过bean获取form的参数和并且进行服务器验证 ,而且支持多个文件上传的用法。html使用form_data
一个烂人的随手笔记
11-01 1778
通过spring mvc 来获取html页面既有传统的表单参数,又有文件上传的组件的功能 html这段通过html5的 form_data 方法进行封装  html 代码 File API Demo
Apache CXF详解:构建与部署SOAP和RESTful Web服务
3. **SOAP与RESTful支持**:除了传统的SOAP接口,CXF 还支持RESTful API的开发,使得服务更易于使用和集成,尤其适合简单的HTTP请求和响应交互。 4. **强大的数据绑定**:CXF 使用JAXB(Java Architecture for XML ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值