http摘要認證

摘要

認證步驟：

1. 客戶端訪問乙個受http摘要認證保護的資源。

2. 伺服器返回401狀態以及nonce等資訊，要求客戶端進行認證。

3. 客戶端將以使用者名稱，密碼，nonce值，http方法, 和被請求的uri為校驗值基礎而加密（預設為

md5演算法

）的摘要資訊返回給伺服器。

認證必須的五個情報：

・ realm ： 響應中包含資訊

・ nonce ： 響應中包含資訊

・ username ： 使用者名稱

・ digest-uri ： 請求的uri

・ response ： 以上面四個資訊加上密碼資訊，使用md5演算法得出的字串。

authorization:

digest

username="mufasa",

←　客戶端已知資訊

realm="[email protected]", 　 ←　伺服器端質詢響應資訊

nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", 　←　伺服器端質詢響應資訊

uri="/dir/index.html", ←　客戶端已知資訊

qop=auth, 　 ←　伺服器端質詢響應資訊

nc=00000001, ←　客戶端計算出的資訊

cnonce="0a4f113b", ←　客戶端計算出的客戶端nonce

response="6629fae49393a05397450978507c4ef1", ←　最終的摘要資訊 ha3

opaque="5ccc069c403ebaf9f0171e9517f40e41"　 ←　伺服器端質詢響應資訊

4. 如果認證成功，則返回相應的資源。如果認證失敗，則仍返回401狀態，要求重新進行認證。

HTTP 摘要認證

基本認證便捷靈活，但極不安全。使用者名稱和密碼都是以明文形式傳送的，也沒有採取任何措施防止對報文的篡改。安全使用基本認證的唯一方式就是將其與 ssl 配合使用。摘要認證是另一種 http 認證協議，它與基本認證相容，但卻更為安全。摘要認證試圖修復基本認證協議的嚴重缺陷。具體來說，摘要認證進行了如下改...

HTTP 基本認證，摘要認證，擴充套件HTTP認證

http請求報頭 authorization http響應報頭 www authenticate http認證 基於質詢 回應 challenge response 的認證模式。基本認證 basic authentication http1.0提出的認證方法 客戶端對於每乙個realm，通過提供使用...

http 基本認證與摘要認證

基本認證 a 客戶端 查詢 b 伺服器 質詢 c 客戶端 響應 authorization basic ynjpyw4tdg90dhk6t3ch d 伺服器 成功,返回資訊 http 1.1 200 ok基本認證的缺陷在於 賬號和密碼是明文傳送,不安全.摘要認證 a 客戶端 查詢 b 伺服器 質詢 ...