認證概念:
伺服器需要通過某種方式來了解使用者的身份,一旦伺服器知道了使用者的身份,就可以判定使用者可以訪問事務和資源了;通常通過使用者名稱和密碼;
http響應/認證框架
http認證模型:
質詢/響應認證框架
http的兩個官方的認證協議:基本認證和摘要認證
認證的四個步驟:
請求:客戶端發起一條請求;第一條請求沒有認證訊息;
質詢:伺服器對客戶端進行質詢;返回一條401 unauthorized響應,並在www-authenticate首部說明如何以及在**進行認證;一般指定對哪個安全域進行認證;
授權:客戶端收到401質詢,彈出對話方塊,詢問使用者名稱和密碼,使用者輸入使用者名稱和密碼後,客戶端會用乙個冒號將其連線起來,編碼成「經過擾碼的」base-64表示形式,然後將其放在authorization首部中回送;
成功:伺服器對使用者名稱和密碼進行解碼,驗證它們的正確性,然後用一條http 200 ok報文返回所請求的報文;
基本認證例項
基本認證首部
base-64編碼:會把乙個8位位元組序列轉劃分成一些6位的塊,用每個6位的塊在乙個特殊在乙個特殊的由64個字元組成的字母表中選擇乙個字元。
編碼例項
安全域:將受保護的文件組織成乙個安全域;每個安全域都可以有不同的授權使用者集;會在www-authenticate首部包含realm指令;
伺服器上的安全域
具有安全域的質詢響應
**認證
通過中間**伺服器實現對伺服器內部資源和文件的統一訪問控制;
與web伺服器的差異
狀態碼:407
首部:proxy
基本認證的安全缺陷:
base-64安全性不高,容易解密;使用ssl加密通道;使用摘要認證;
HTTP 基本認證,摘要認證,擴充套件HTTP認證
http請求報頭 authorization http響應報頭 www authenticate http認證 基於質詢 回應 challenge response 的認證模式。基本認證 basic authentication http1.0提出的認證方法 客戶端對於每乙個realm,通過提供使用...
HTTP基本認證
http提供了乙個原生的質詢 響應框架,簡化了對使用者的認證過程。http的認證模型如圖所示.web伺服器接收到一條http請求報文時,伺服器沒有直接響應請求的資源,而是以乙個 認證質詢 進行響應,要求使用者提供一些保密資訊來說明其身份。使用者再次發起請求時,要附上保密證書 使用者名稱和密碼 如果與...
HTTP基本認證
在最近的專案中,需要實現乙個客戶端,通過http協議訪問web伺服器,即c s架構。使用客戶端的功能前需要先進行登入認證,原本的設計是 客戶端登入成功後,維護乙個cookie用於保持當前的登入狀態。但是最終的做法是,採用了 http基本認證 就是將使用者的使用者名稱和密碼放在http請求頭部的aut...