HTTP基本认证和摘要认证

最新推荐文章于 2024-06-04 12:36:16 发布
最新推荐文章于 2024-06-04 12:36:16 发布
阅读量4.5k 收藏 3
点赞数
分类专栏: 后端 文章标签: http认证 http基本认证 http摘要认证 http Aes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xcl168/article/details/49475381
版权
         今天试了下HTTP认证的资料. 主要是基本认证与摘要认证.
其中基本认证是指 Base64(user:pwd)后,放在Http头的Authorization中发送给服务端来作认证.
用Base64纯只是防君子不防小人的做法。所以只适合用在一些不那么要求安全性的场合。
         不过如果是做WebAPI不是网页,且web服务器是自己可以控制的,其实没必要那么死板。 
我就试了把Base64(AES(user:pwd))后,按基本认证的方式传参数。然后Web服务再依次解码得
到user与pwd做认证,只要两边都约定好,是没什么问题的。
     
至于摘要认证就要复杂点,我把维基百科的上东西拿过来做下笔记:
1. Client  ------->  WebServer
   点链接或发请求
   /
    GET /dir/index.html HTTP/1.0
Host: localhost
   

2. Client  <-------  WebServer
   返加401 "Unauthorized" 响应码
       认证域(realm)
       服务端密码随机数(nonce)
     ///
     HTTP/1.0 401 Unauthorized
Server: HTTPd/0.9
Date: Sun, 10 Apr 2005 20:26:47 GMT
WWW-Authenticate: Digest realm="testrealm@host.com",
                       qop="auth,auth-int",
                       nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
                       opaque="5ccc069c403ebaf9f0171e9517f40e41"
Content-Type: text/html
Content-Length: 311
///
3. Client  ------->  WebServer
     返回同样的header,但多加一个认证头包括了响应代码
    //
    GET /dir/index.html HTTP/1.0
Host: localhost
Authorization: Digest username="Mufasa",
                    realm="testrealm@host.com",
                    nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
                    uri="/dir/index.html",
                    qop=auth,
                    nc=00000001,
                    cnonce="0a4f113b",
                    response="6629fae49393a05397450978507c4ef1",
                    opaque="5ccc069c403ebaf9f0171e9517f40e41"


4. Client  <-------  WebServer
///
HTTP/1.0 200 OK
Server: HTTPd/0.9
Date: Sun, 10 Apr 2005 20:27:03 GMT
Content-Type: text/html
Content-Length: 7984
///

客户端在后续提交请求时,
   重复用服务器密码随机数(nonce)
   每次产生新的客户端密码随机数(cnonce)
   计数器(nc)++
然后依 保护质量(qop)类型,确定response 值

服务端收到后,依qop类型,用同样的算法,算出值与客户端带过来的response值对比。

nonce过期处理:
当服务端密码随机数nonce过期时,
返回 401,并在认证头中添加stale=TRUE

// ":"作为各个参数的分割符
HA1 : md5("username:realm:pwd")
HA2 : md5("GET:/xx/xx/index.html")

qop:为"auth"或"auth-int"
Response = md5("HA1:nonce:nc:cnonce:qop:HA2")
qop:未指定
Response = md5("HA1:nonce:HA2")


         上面两种认证方式其实都是通过Authenticate传参数,只不过定义不同罢了。要是自己写Web服务,两边约定好。

想怎么定义都行,当然其它web服务器就不认得了。

  我把测试基本认证和加了层AES加密的基本认证的部分实现贴一下:

 启动Web服务

func main() {
	fmt.Println("HTTP认证 服务端 ")

	http.HandleFunc("/", lib.MakeHandleFunc(lib.HTTPGET, lib.HandleTest))

	log.Fatal(http.ListenAndServe(":8080", nil))
}
在这作认证 

/**
HTTP身份认证测试
   转Handler函数
Author: XiongChuanLiang
Date:2015-10-28
*/
package lib

import (
	"log"
	"net/http"
)

type HandleFuncType func(http.ResponseWriter, *http.Request)

const (
	HTTPGET  = "GET"
	HTTPPOST = "POST"
)

func MakeHandleFunc(fMethod string, f HandleFuncType) HandleFuncType {
	return func(w http.ResponseWriter, r *http.Request) {

		defer func() {
			if x := recover(); x != nil {
				log.Printf("[%v] panic: %v", r.RemoteAddr, x)
			}
		}()

		if r.Method != fMethod {
			http.Error(w, "调用方法出错.", http.StatusMethodNotAllowed)
		} else {
			//if BasicAuth(r) {
			if AesBasicAuth(r) {
				f(w, r)
			} else {
				http.Error(w, "Auth失败.", http.StatusBadRequest)
			}
		}
	}
}

具体的两种认证方式 

// 标准的Http身份认证
func BasicAuth(r *http.Request) bool {

	auth := strings.SplitN(r.Header["Authorization"][0], " ", 2)

	log.Println("[BasicAuth] auth:", auth)
	if len(auth) != 2 || auth[0] != "Basic" {
		log.Println("[BasicAuth] [ERROR] Authorization参数传过来的格式不对!")
		return false
	}
	payload, _ := base64.StdEncoding.DecodeString(auth[1])
	fmt.Println("[BasicAuth] Auth payload:", string(payload))

	userInfo := strings.SplitN(string(payload), ":", 2)
	if len(userInfo) != 2 {
		log.Println("[BasicAuth] [ERROR] Authorization参数少了!")
		return false
	}

	//检验身份
	return Validate(userInfo[0], userInfo[1])
}

// 如果只是设Web Api可用,不适应于网页.
// Client:将user:password用AES加密后,再用Base64发送过来
// Server:Base64解密,AES解密
func AesBasicAuth(r *http.Request) bool {
	auth := strings.SplitN(r.Header["Authorization"][0], " ", 2)
	log.Println("[AesBasicAuth] auth:", auth)

	if len(auth) != 2 || auth[0] != "Basic" {
		log.Println("[AesBasicAuth] [ERROR] Authorization参数传过来的格式不对!")
		return false
	}

	
	payload := strings.TrimSpace(auth[1])
	uDec, _ := base64.URLEncoding.DecodeString(payload)
	origData2, err2 := util.AesDecrypt(uDec, util.AesKey16)
	if err2 != nil {
		panic(err2)
	}
	log.Println("[AesBasicAuth] origData:", string(origData2))
	

	loginInfo := strings.SplitN(string(origData2), ":", 2)
	if len(loginInfo) != 2 {
		log.Println("[AesBasicAuth] [ERROR] Authorization参数少了!")
		return false
	}

	//检验身份
	return Validate(loginInfo[0], loginInfo[1])
}

客户端的测试代码:

 

/**
HTTP身份认证测试
   客户端
Author: XiongChuanLiang
Date:2015-10-28

*/

package main

import (
	"bytes"
	"encoding/base64"
	"fmt"
	"io/ioutil"
	"log"
	"net/http"
	"net/url"
	"strings"

	"../util"
)

var (
	User string = "xcl"
	Pwd  string = "pwd"

	TestUrl string = "http://localhost:8080/test?cmdtype=testauth&p1=xcl" //get
)

func main() {
	fmt.Println("HTTP认证 客户端")

	testBaseAuth()
	//testAesBaseAuth()
}

// 标准的Http身份认证
func testBaseAuth() {
	client := &http.Client{}
	body := bytes.NewBuffer([]byte("Hello"))

	req, _ := http.NewRequest("GET", TestUrl, body)
	req.Header.Set("Content-Type", "application/json;charset=utf-8")
	req.SetBasicAuth(User, Pwd)

	resp, err := client.Do(req)
	if err != nil {
		fmt.Println("[testBaseAuth] err:", err)
		return
	}
	defer resp.Body.Close()

	data, _ := ioutil.ReadAll(resp.Body)
	fmt.Println("[testBaseAuth] resp.Body:", string(data))
}

// 如果只是设Web Api可用,不适应于网页.
// Client:将user:password用AES加密后,再用Base64发送过来
// Server:Base64解密,AES解密
func testAesBaseAuth() {
	client := &http.Client{}
	body := bytes.NewBuffer([]byte("Hello"))

	req, _ := http.NewRequest("GET", TestUrl, body)
	req.Header.Set("Content-Type", "application/json;charset=utf-8")

	//
	f1 := func() string {
		auth := fmt.Sprintf("%s:%s", User, Pwd)
		//test
		//uEnc := base64.URLEncoding.EncodeToString([]byte(auth))
		if aesData, err := util.AesEncrypt([]byte(auth), util.AesKey16); err != nil {
			panic(err)
		} else {
			return base64.URLEncoding.EncodeToString(aesData)
		}
	}

	//自己构建Authorization
	//Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
	req.Header.Set("Authorization", fmt.Sprintf("Basic %s", f1()))
	//

	resp, err := client.Do(req)
	if err != nil {
		fmt.Println("[testAesBaseAuth] err:", err)
		return
	}
	defer resp.Body.Close()

	data, _ := ioutil.ReadAll(resp.Body)
	fmt.Println("[testAesBaseAuth] resp.Body:", string(data))
}
  上面是测试的部份代码,纯只是验证下而已,实际中估计很少有人这么做。


BLOG:http://blog.csdn.net/xcl168



拙_言
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
libcurl第五课 Digest Authentication摘要验证使用
08-31 1121
场景 在安迅士摄像机网页上,配置系统选项,HTTP/RTSP Password Settings 中, 选择Encrypted only。获取设备的云台状态信息,使用的是摘要认证例子void CAnXunShiConn::TestlibCurlHTTPDegistAuth(){CURL *pCurlHandle = curl_easy_init();cur...
go-http-auth:golang http基本摘要HTTP身份验证
05-04
Go中的HTTP身份验证实现 这是Go语言中HTTP Basic和HTTP Digest身份验证的实现。 它被设计为http.RequestHandler函数的简单包装。 特征 支持HTTP基本HTTP摘要身份验证。 支持htpasswd和htdigest格式的文件。 自动重新加载密码文件。 用于用户/密码存储的可插拔接口。 支持MD5,SHA1和BCrypt进行基本身份验证密码存储。 具有到期时间的可配置摘要随机数缓存大小。 旧版HTTP处理程序的包装器(http.HandlerFunc接口) 用法示例 这是基本身份验证的完整工作示例: package main import ( "fmt" "net/http" auth "github.com/abbot/go-http-auth" ) func Secret(user,
HTTP认证方式
热门推荐
hotnet522的专栏
08-19 3万+
HTTP请求报头: Authorization HTTP响应报头: WWW-Authenticate HTTP认证基于质询/回应(challenge/response)的认证模式。 ◆ 基本认证 basic authentication   ← HTTP1.0提出的认证方法 客户端对于每一个realm,通过提供用户名和密码来进行认证的方式。 ※ 包含密码的明文传递 基本认证步骤: 1. 客户端访问一个受http基本认证保护的资源。
实战指南:Go语言中的OAuth2认证
最新发布
繁依Fanyi的博客
06-04 978
在网络应用程序开发中,安全性和用户身份验证是至关重要的方面。OAuth2(开放授权2.0)是一种广泛应用于网络身份验证和授权的标准协议。它允许客户端应用程序以安全且受控的方式访问受保护资源,而无需用户提供其凭据。
身份认证基础01
程序狗的成长之路
11-19 366
1.认证是验证“你就是你说的谁”的过程,而授权是验证“你可以做你正在做的事”的过程。这并不意味着授权需要认证,一个匿名代理可以被授权给一个有限的行动集。 2.目前常见的访问控制策略有强制型访问控制策略、自主型访问控制策略、基于角色的访问控制策略,以及第一章提到的大型业务系统中常常采用的基于任务的访问控制策略、以及随着细粒度化权限控制出现基于属性的访问控制策略。 3.在访问控制模型中,首先定义主体、客体以及客体请求,然后定义他们之间的关系,用来表示主体是如何受限的访问客体资源。因此,访问控制的核心是授权策
HTTP权威指南》第十三章学习总结--摘要认证
weixin_41400449的博客
06-22 369
**定个小目标,吃透这本书,每天最少一章 CSDN 见** 摘要认证的改进 摘要认证是一种HTTP认证协议,它试图修复基本认证协议的验证缺陷。 它进行了如下改正: 永远不会以明文方式在网络上发送密码 可以防止恶意用户捕获并重放认证的握手过程。 可以有选择的防止对报文内容的篡改 防止其他几种创建的攻击方式。 下面是摘要认证的密码保护 常见的摘要函数MD5,会将任意长度字节序转换为一个128位的摘要,通常被写成32个十六进制的字符。这样的算法是不可逆的。 摘要认证的可信就是对公共信息,报名信息和有限的..
http --- > 基本认证摘要认证
栗子好好吃的博客
06-20 416
基本认证: // (a)客户端:查询 GET /cgi-bin/checkout?cart=17854 HTTP/1.1 // (b)服务器:质询 HTTP/1.1 401 Unauthorized WWW-Authenticate: Basic realm="Shopping Cart" // (c)客户端:响应 GET /cgi-bin/checkout?cart=17854 HTTP/1...
http鉴权认证
04-03
- **HTTP摘要认证**:比基本认证更安全,它使用哈希函数对用户名、密码和随机字符串进行计算,然后发送哈希值,服务器端再进行验证。 - **OAuth**:主要用于第三方应用获取用户资源的授权,常见于社交媒体登录。 ...
WebApi摘要认证
09-03
摘要认证HTTP协议中的一个标准身份验证方法,它比基本认证更安全,因为它在传输过程中不直接暴露用户的明文密码。本文将深入探讨WebAPI摘要认证的原理、配置以及如何在Winform应用中调用WebAPI。 摘要认证基于...
node.js简单的实现http摘要验证
11-09
在本文中,我们将深入探讨如何使用Node.js实现HTTP摘要认证HTTP摘要认证是一种安全的身份验证机制,...通过上述步骤和提供的文件,你可以构建一个基本HTTP摘要认证服务器,为你的应用程序提供安全的身份验证机制。
C#进阶系列 WebApi身份认证解决方案推荐:Basic基础认证
09-02
ASP.NET提供了多种认证机制,包括FORM身份验证、集成WINDOWS验证、Basic基础认证和Digest摘要认证。每种方式都有其适用场景,本文以Basic认证为例进行深入解析。 2. Basic认证原理: Basic认证通过加密用户信息...
聊聊身份认证那些事(基于gin框架的认证实战 上)
罗斯839的博客
01-09 2543
开篇 身份认证系列进行到现在,大部分内容都是偏理论的,今天我们就来点轻松的,直接上实战,纸上得来终觉浅,绝知此事要躬行呀。 正如本篇题目所示,我们来看看如何通过go语言的gin web框架来实现一个简单的认证功能,不过就算你没用过gin也没关系,把代码部分当做伪代码来看就行,毕竟认证功能是语言无关的嘛,先把内功打深厚,然后再学招式就简单得多了。 四种基本认证方式 认证是用来验证某个用户是否具有访问系统的权限。如果认证通过,该用户就可以访问系统,从而创建、修改、删除、查询平台支持的资源。认证需要你证明你是
Go最全认证流程源码级详解(4-6节内容)_this(2),腾讯字节等大厂面试真题汇总
2401_84911322的博客
05-16 286
(3)UsernamePasswordAuthenticationToken的构造方法,this.setAuthenticated(false);** 即没有通过身份认证。是权限的集合,由于调用的时候不知道权限信息,所以传入的。传到父类的权限集合是null**,是 封装了登录时的认证信息。(1)Ctrl加鼠标左键点。
Golang实现更安全的HTTP基本认证(Basic Authentication)
neweastsun的专栏
04-10 2920
本文介绍了Go如何实现安全http基本认证,首先介绍原理,后面给出详细实现过程,最后通过curl和GO http客户端进行验证。详细内容参考:https://www.alexedwards.net/blog/basic-authentication-in-go。
常见的安全漏洞原理以及防御知识——第一章:基础篇---Cookie、状态码、HTTPS、HTTP身份验证(3)
日熙的博客
11-27 513
第一章:基础篇---Cookie、状态码、Web功能1.cookie的介绍、构成2.cookie的属性3.状态码4.https 和 http代理5.Basic等身份认证方法6.要能看懂请求头、响应头(对方服务器的一些信息)Web功能服务器端功能客户端功能状态与会话http常用消息头(补在前面的一篇文章去)请求消息头响应消息头 1.cookie的介绍、构成 (1)Cookie 简介: Cookie是HTTP协议的一个关键组成部分,攻击者常通过它来利用Web应用程序中的漏洞。 Cookie诞生的最初目的是为了存
HTTP摘要认证的C语言实现
北京老向 blog
06-29 1853
 SIP的用户注册和RTSP的DESCRIBE之后要用摘要认证(digestauthentication)。 digest的算法:A1 =username:realm:password A2 = mthod:uriHA1= MD5(A1) 如果 qop 值为“auth”或未指定,那么 HA2 为 HA2 =MD5(A2)=MD5(method:uri) 如果 qop 值为“auth-int”,那么...
微服务统一认证与授权的 Go 语言实现
aoho求索
01-29 3333
各位读者朋友鼠年大吉,祝各位新的一年身体健康,万事如意! 最近疫情严重,是一个特殊时期,大家一定要注意防护。很多省份推迟了企业开工的时间,大部分的互联网公司也都是下周开始远程办公。大家可以利用在家的几天时间学习充电,反正也出不去(????????????)。 今天笔者要写得是 Go 微服务相关的组件实践,笔者在好几年前就接触 Go 语言,去年开始从事 Go 微服务相关的开发,在过程中也和小伙伴联合编写了一本 《Go...
简述消息认证码 MAC 的基本原理。
05-23
基本原理是使用一个密钥和一个加密算法来生成一个摘要,该摘要用于验证消息的完整性和真实性。 具体来说,MAC 的生成过程如下: 1. 选择一个加密算法,如 HMAC、CMAC 等。 2. 选择一个密钥,该密钥只有发送方和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值