整理下演算法的使用場景。
為什麼需要認證[應對場景]
摘要認證原理
摘要認證實現
簽名認證原理
簽名認證實現
經由http協議進行通訊的資料大都是未經加密的明文,包括引數、返回值、cookie、head資料,外界通過對通訊的監聽,可以輕而易舉的根據請求和響應的格式,偽造請求和響應。
http協議的攻擊門檻低,通過外掛程式可以清楚的看到http請求生成的引數及響應的body,甚至有時候都能看到使用者請求的使用者名稱和密碼。
鑑於第三方可以模擬請求和響應,就相當於資料被中途攔截和修改,那麼服務端就需要對傳輸的資料進行校驗,來確保內容未經篡改。
摘要認證原理
摘要認證的目的是確保資料在網路傳輸過程中不被篡改。原理就是在傳輸的內容後面追加乙個偏移量(secret),然後利用數字摘要演算法,生成數字摘要,連同傳輸內容,一起傳輸到服務端。
服務端接收到資料後,對內容+secret也做摘要運算,將得到的摘要與接收的摘要進行對比,相同則表示內容未經修改。
整個過程中secret比較重要,一旦洩漏則無法保障安全。
摘要認證實現
摘要認證分為4個環節,3、4基本與1、2相同,不做介紹。
1、客戶端摘要生成;
2、服務端摘要驗證;
3、服務端響應摘要生成;
4、客戶端響應摘要驗證。
2、服務端摘要驗證過程
簽名認證原理
摘要認證能夠在一定程度上防止通訊內容的篡改,但演算法的安全性取決於secret的安全性。因此最好能夠不依賴單一的secret,就引出了簽名認證,即客戶端將內容的摘要資訊進行分對稱加密,形成簽名;服務端利用公鑰對簽名進行解密,得到客戶端摘要資訊,然後生成服務端摘要資訊,兩者比較看是否被篡改。
簽名認證實現
簽名認證也分為4個環節,3、4基本與1、2相同,不做介紹。
1、客戶端簽名生成;
2、服務端簽名驗證;
3、服務端響應簽名生成;
4、客戶端響應簽名驗證。
2、服務端簽名驗證
基本認證 摘要認證 HTTPS
http提供了乙個原生的質詢 響應 challenge response 框架。1.請求質詢首部 www authenticate 伺服器發出 2.授權首部 authorization 客戶端發出 3.認證成功首部 authentication info 伺服器發出,可選 www authentic...
RTSP鑑權認證之基礎認證和摘要認證
基本認證 basic authentication http 1.0提出的認證方案,其訊息傳輸不經過加密轉換因此存在嚴重的安全隱患 摘要認證 digest authentication http 1.1提出的基本認證的替代方案,其訊息經過md5雜湊轉換因此具有更高的安全性。1.客戶端傳送descri...
HTTP 基本認證,摘要認證,擴充套件HTTP認證
http請求報頭 authorization http響應報頭 www authenticate http認證 基於質詢 回應 challenge response 的認證模式。基本認證 basic authentication http1.0提出的認證方法 客戶端對於每乙個realm,通過提供使用...