美文网首页
图解HTTP 第 8 章 确认访问用户身份的认证

图解HTTP 第 8 章 确认访问用户身份的认证

作者: 程序员文集 | 来源:发表于2019-06-22 18:37 被阅读0次

    8.1 何为认证

    为了弄清究竟是谁在访问服务器,就得让对方的客户端自报家门。

    可是,就算正在访问服务器的对方声称自己是ueno,身份是否属实这 点却也无从谈起。为确认 ueno 本人是否真的具有访问系统的权限, 就需要核对“登录者本人才知道的信息”。

    核对的信息通常是指以下这些。

    • 密码:只有本人才会知道的字符串信息。
    • 动态令牌:仅限本人持有的设备内显示的一次性密码。
    • 数字证书:仅限本人(终端)持有的信息。
    • 生物认证:指纹和虹膜等本人的生理信息。
    • IC 卡等:仅限本人持有的信息。

    8.2 BASIC 认证

    BASIC 认证(基本认证)是从 HTTP/1.0 就定义的认证方式。即便是 现在仍有一部分的网站会使用这种认证方式。
    BASIC 认证的认证步骤


    image.png

    步骤 1: 当请求的资源需要 BASIC 认证时,服务器会随状态码 401 Authorization Required,返回带 WWW-Authenticate 首部字段的响应。 该字段内包含认证的方式(BASIC) 及 Request-URI 安全域字符串 (realm)。

    WWW-Authenticate : Basic  realm=“some realm”

    步骤 2: 接收到状态码 401 的客户端为了通过 BASIC 认证,需要将 用户 ID 及密码发送给服务器。发送的字符串内容是由用户 ID 和密码 构成,两者中间以冒号(:)连接后,再经过 Base64 编码处理。

    Authorization:Basic  xxxxx

    步骤 3: 接收到包含首部字段 Authorization 请求的服务器,会对认证 信息的正确性进行验证。如验证通过,则返回一条包含 Request-URI 资源的响应。

    BASIC 认证虽然采用 Base64 编码方式,但这不是加密处理。不需要 任何附加信息即可对其解码。换言之,由于明文解码后就是用户 ID 和密码,在 HTTP 等非加密通信的线路上进行 BASIC 认证的过程 中,如果被人窃听,被盗的可能性极高。

    8.3 DIGEST 认证

    为弥补 BASIC 认证存在的弱点,从 HTTP/1.1 起就有了 DIGEST 认 证。

    DIGEST 认证的认证步骤


    image.png

    步骤 1: 请求需认证的资源时,服务器会随着状态码 401 Authorization Required,返 回带 WWW-Authenticate 首部字段的响应。 该字段内包含质问响应方式认证所需的临时质询码(随机数, nonce)。

    WWW-Authenticate : Digest  realm=“some realm”,
uri="xxxx",
nonce="xxxx",
algorithm=MD5,
response="xxxx",
qop=auth,
nc=00000001,
cnonce="xxxx"

    首部字段 WWW-Authenticate 内必须包含 realm 和 nonce 这两个字段的 信息。客户端就是依靠向服务器回送这两个值进行认证的。

    nonce 是一种每次随返回的 401 响应生成的任意随机字符串。

    步骤 2: 接收到 401 状态码的客户端,返回的响应中包含 DIGEST 认 证必须的首部字段 Authorization 信息。

    Authorization:Digest  realm="some realm",
username="xxxx",
nonce="xxxx",
uri="/xxx",
algorithm=MD5,
response="xxxx",
qop=auth,
nc=000001,
cnonce="xxxx"

    首部字段 Authorization 内必须包含 username、realm、nonce、uri 和 response 的字段信息。其中,realm 和 nonce 就是之前从服务器接收到 的响应中的字段。
    username 是 realm 限定范围内可进行认证的用户名。
    uri(digest-uri)即 Request-URI 的值,但考虑到经代理转发后 Request-URI 的值可能被修改,因此事先会复制一份副本保存在 uri 内。
    response 也可叫做 Request-Digest,存放经过 MD5 运算后的密码字符 串,形成响应码。

    步骤 3: 接收到包含首部字段 Authorization 请求的服务器,会确认认 证信息的正确性。认证通过后则返回包含 Request-URI 资源的响应。

    Authentication-Info : rspauth="xxxx", 
qop=auth,
nc=00000001,
cnonce="xxxx"

    并且这时会在首部字段 Authentication-Info 写入一些认证成功的相关信 息。

    DIGEST 认证提供了高于 BASIC 认证的安全等级,但是和 HTTPS 的 客户端认证相比仍旧很弱。DIGEST 认证提供防止密码被窃听的保护 机制,但并不存在防止用户伪装的保护机制。

    DIGEST 认证和 BASIC 认证一样,使用上不那么便捷灵活,且仍达不 到多数 Web 网站对高度安全等级的追求标准。因此它的适用范围也 有所受限。

    相关文章

      网友评论

          本文标题:图解HTTP 第 8 章 确认访问用户身份的认证

          本文链接:https://www.haomeiwen.com/subject/revvqctx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|图解HTTP 第 8 章 确认访问用户身份的认证|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!