13.3 增强保护质量

最新推荐文章于 2023-10-19 17:41:21 发布
最新推荐文章于 2023-10-19 17:41:21 发布
阅读量555 收藏 1
点赞数
分类专栏: HTTP 13. 摘要认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gogzf/article/details/78375556
版权
本文介绍了HTTP摘要认证机制中qop字段的作用及其协商过程。详细解释了服务器如何通过WWW-Authenticate首部提供qop选项列表,客户端又如何选择合适的qop值进行响应。此外还讨论了两种保护质量选项:auth(仅认证)和auth-int(认证加完整性保护),并简述了摘要认证首部的具体用途。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • 可以在三种摘要首部中提供 qop 字段:WWW-Authenticate、Authorization 和 Authentication-Info。
  • 通过 qop 字段,客户端和服务器可以对不同类型及质量的保护进行协商。比如,即便会严重降低传输速度,有些事务可能也要检查报文主体的完整性。
  • 服务器首先在 WWW-Authenticate 首部输出由逗号分隔的 qop 选项列表。然后客户端从中选择一个它支持且满足其需求的选项,并将其放在 Authorization 的 qop 字段中回送给服务器。
  • qop 字段是可选的,但只是在后向兼容原有 RFC 2069 规范的情况下才是可选的。现代所有的摘要实现都应该支持 qop 选项。
  • RFC 2617 定义了两种保护质量的初始值:表示认证的 auth,带有报文完整性保护的认证 auth-int。将来可能还会出现其他 qop 选项。

1. 报文完整性保护

  • 如果使用了完整性保护(qop=”auth-int”),H(实体的主体部分)就是对实体主体部分,而不是报文主体部分的散列。
  • 对于发送者,要在应用任意传输编码方式之前计算。
  • 对于接收者,则应在去除所有传输编码之后计算。
  • 注意,对于任何含有多部份的内容类型来说,多部分的边界和每部分中嵌入的首部都要包含在内。

2. 摘要认证首部

  • 摘要认证比基本认证多了可选的 Authorization-Info 首部,这个首部是在成功认证之后发送的,用于实现三步握手机制,并传送下一个随机数。
  • 下表给出了基本认证和摘要认证的首部:
    这里写图片描述
  • 首部的具体指令在 RFC 2617 中有描述。

1. 摘要 WWW-Authenticate 首部的指令

这里写图片描述
这里写图片描述

2. 摘要 Authorization 首部的指令

这里写图片描述
这里写图片描述

3. 摘要 Authentication-Info 首部的指令

这里写图片描述

HTTP Digest authentication
Andrea的笔记
05-14 1万+
最近学习了HTTP Digest,并且分别在php和android实现了server端和服务器端逻辑
用户身份认证
SillyLee1的博客
10-13 2451
0. 背景 计算机本身无法判断坐在显示器前的使用者的身份,也无法确认网络的另一端的是谁。为了明确是谁在访问服务器,必须让客户端自报家门。 通常核对一些登录者本人的信息: 密码:只有本人知道的字符串信息 动态令牌:仅限本人持有的设备内显示的一次性密码 数字证书:仅限本人(终端)持有的信息 生物认证:指纹和虹膜等本人生理信息 身份证号、手机号等:仅限本人持有的信息 1. Basic 认证 Basic 身份认证,是 HTTP 1.0 中引入的认证方案之一。虽然方案比较古老,实现简单,同时存在
WWW-Authenticate 头字段和 Authorization 头字段的区别
yu2yu3yu2的专栏
10-19 760
头字段是客户端向服务器发送的摘要认证响应。这两个头字段在 SIP 摘要认证中协同工作,确保通信的安全性和身份验证。头字段是服务器向客户端发出的认证挑战,而。
HTTP认证方式
hotnet522的专栏
08-19 3万+
HTTP请求报头: Authorization HTTP响应报头: WWW-Authenticate HTTP认证基于质询/回应(challenge/response)的认证模式。 ◆ 基本认证 basic authentication   ← HTTP1.0提出的认证方法 客户端对于每一个realm,通过提供用户名和密码来进行认证的方式。 ※ 包含密码的明文传递 基本认证步骤: 1. 客户端访问一个受http基本认证保护的资源。
Http权威指南笔记()——认证
VictorCatFish的博客
05-09 857
现在大多数网站都会在cookie等客户端识别机制的基础上建立自己的认证机制。但是HTTP规范中提供的原生认证机制还是有必要了解下,了解这些后才能更好理解那些自己建立的认证机制。 HTTP原生认证功能一般分为基本认证和摘要认证。基本认证相对简单,但是安全性相对较弱,摘要认证要复杂一些,当然安全性也会高一些。在介绍这两种认证方式之前,我们先看下HTTP中涉及到认证的一些通用概念。 1 HTTP认证机制...
13.3 (17C54).zip
05-20
2. **隐私增强**:苹果持续加强用户隐私保护,可能会有新的权限控制或数据加密措施。 3. **键盘设置**:iOS 13引入了第三方键盘支持,13.3可能会有相关的改进或修复。 4. **性能优化**:每个版本都会对系统的性能...
ios13.3调试包
12-21
首先,iOS 13.3是苹果公司在2019年12月发布的操作系统更新,带来了诸多性能优化和新功能,包括改进的屏幕时间管理、增强的隐私保护等。对于开发者来说,这意味着需要对他们的应用进行适配和测试,以确保兼容性和稳定...
SDK 13.3.zip
02-04
7. **隐私和安全强化**:Apple一直注重用户隐私,SDK 13.3可能包含更多的权限控制和数据保护措施,以满足日益严格的隐私法规。 8. **性能优化**:苹果通常会在新的SDK中针对处理器和GPU进行优化,以提高应用运行...
用WWW-Authenticate实现登录验证
学习笔记
07-29 5369
string base64EncodedAuthorizationString ="username" + ":" + "password"; byte[] binaryData = new Byte[base64EncodedAuthorizationString.Length]; binaryData = Encoding.UTF8.GetBytes(base64EncodedAuthorizationString); base64EncodedAuthorizationSt
Node.js实践HTTP安全认证之二~~摘要认证(理论)
阿朱的博科
11-08 1538
HTTP协议本身对于可能遇到的安全方面的问题也有一些这方面的设计,虽然并不完善,不过对于大多数的网站已经可以适用。如果是其他的加密协议,在调试方面会比较麻烦,需要自己设计拆包和解密的工具,那还不如彻底用好HTTP的协议。摘要认证是另一种HTTP认证协议,相对于HTTP基本认证复杂的多,它对于认证协议增加了许多改进。
HttpClient三种不同的服务器认证客户端方案
i_lovefish的专栏
08-07 3万+
HttpClient三种不同的认证方案: Basic, Digest and NTLM. 这些方案可用于服务器或代理对客户端的认证,简称服务器认证或代理认证。 服务器认证   HttpClient处理服务器认证几乎是透明的,仅需要开发人员提供登录信息(login credentials)。登录信息保存在HttpState类的实例中,可以通过 setCredentials(String
[转]www-authenticate认证过程浅析
maoliran的博客
07-06 2万+
一、www-authenticate简介www-authenticate是早期的一种简单的,有效的用户身份认证技术。 很多网站验证都采用这种简单的验证方式来完成对客户端请求的数据的合法性进行验证。尤其在嵌入式领域中,此方法使用较多。 缺点:这种认证方式在传输过程中是明码传输的,采用的用户名密码加密方式为BASE-64,其解码过程非常简单,网络上很容易搜索到编解码的源码。采用这种认证方式对于普通用
http协议之digest(摘要)认证
热门推荐
jszj的专栏
05-13 4万+
参考网址: http://www.faqs.org/rfcs/rfc2617.html http://www.faqs.org/rfcs/rfc1321.html http://www.cnblogs.com/my_life/articles/2285649.html http://blog.sina.com.cn/s/blog_53b15ed5010006t9.html http://
认证学习3 - Digest摘要认证讲解、代码实现、演示
weixin_39651356的博客
08-17 2478
认证学习3 -Digest摘要认证讲解、代码实现、演示
Websphere之HTTPS配置
DoubleJing的博客
10-26 8329
1.建立密钥库文件 使用第三方工具创建经CA认证的密钥库文件,此处过程不再描述 2.导入密钥库文件 2.1进入控制台—>安全性—>SSL证书和密钥管理—>进入相关项密钥库和证书 2.2点击新建 2.3自定义名称,路径选择密钥库文件所在的绝对路径,密码为密钥库文件自身的密码,类型选择与密钥库文件相对应的类型,点击应用并保存 3.生成SSL配置 3.1进入控制台—>安全性...
基于模糊故障树的工业控制系统可靠性分析与Python实现
最新发布
04-26
内容概要:本文探讨了模糊故障树(FFTA)在工业控制系统可靠性分析中的应用,解决了传统故障树方法无法处理不确定数据的问题。文中介绍了模糊数的基本概念和实现方式,如三角模糊数和梯形模糊数,并展示了如何用Python实现模糊与门、或门运算以及系统故障率的计算。此外,还详细讲解了最小割集的查找方法、单元重要度的计算,并通过实例说明了这些方法的实际应用场景。最后,讨论了模糊运算在处理语言变量方面的优势,强调了在可靠性分析中处理模糊性和优化计算效率的重要性。 适合人群:从事工业控制系统设计、维护的技术人员,以及对模糊数学和可靠性分析感兴趣的科研人员。 使用场景及目标:适用于需要评估复杂系统可靠性的场合,特别是在面对不确定数据时,能够提供更准确的风险评估。目标是帮助工程师更好地理解和预测系统故障,从而制定有效的预防措施。 其他说明:文中提供的代码片段和方法可用于初步方案验证和技术探索,但在实际工程项目中还需进一步优化和完善。
风力发电领域双馈风力发电机(DFIG)Simulink模型的构建与电流电压波形分析
04-26
内容概要:本文详细探讨了双馈风力发电机(DFIG)在Simulink环境下的建模方法及其在不同风速条件下的电流与电压波形特征。首先介绍了DFIG的基本原理,即定子直接接入电网,转子通过双向变流器连接电网的特点。接着阐述了Simulink模型的具体搭建步骤,包括风力机模型、传动系统模型、DFIG本体模型和变流器模型的建立。文中强调了变流器控制算法的重要性,特别是在应对风速变化时,通过实时调整转子侧的电压和电流,确保电流和电压波形的良好特性。此外,文章还讨论了模型中的关键技术和挑战,如转子电流环控制策略、低电压穿越性能、直流母线电压脉动等问题,并提供了具体的解决方案和技术细节。最终,通过对故障工况的仿真测试,验证了所建模型的有效性和优越性。 适用人群:从事风力发电研究的技术人员、高校相关专业师生、对电力电子控制系统感兴趣的工程技术人员。 使用场景及目标:适用于希望深入了解DFIG工作原理、掌握Simulink建模技能的研究人员;旨在帮助读者理解DFIG在不同风速条件下的动态响应机制,为优化风力发电系统的控制策略提供理论依据和技术支持。 其他说明:文章不仅提供了详细的理论解释,还附有大量Matlab/Simulink代码片段,便于读者进行实践操作。同时,针对一些常见问题给出了实用的调试技巧,有助于提高仿真的准确性和可靠性。
基于西门子S7-200 PLC和组态王的八层电梯控制系统设计与实现
04-26
内容概要:本文详细介绍了基于西门子S7-200 PLC和组态王软件构建的八层电梯控制系统。首先阐述了系统的硬件配置,包括PLC的IO分配策略,如输入输出信号的具体分配及其重要性。接着深入探讨了梯形图编程逻辑,涵盖外呼信号处理、轿厢运动控制以及楼层判断等关键环节。随后讲解了组态王的画面设计,包括动画效果的实现方法,如楼层按钮绑定、轿厢移动动画和门开合效果等。最后分享了一些调试经验和注意事项,如模拟困人场景、防抖逻辑、接线艺术等。 适合人群:从事自动化控制领域的工程师和技术人员,尤其是对PLC编程和组态软件有一定基础的人群。 使用场景及目标:适用于需要设计和实施小型电梯控制系统的工程项目。主要目标是帮助读者掌握PLC编程技巧、组态画面设计方法以及系统联调经验,从而提高项目的成功率。 其他说明:文中提供了详细的代码片段和调试技巧,有助于读者更好地理解和应用相关知识点。此外,还强调了安全性和可靠性方面的考量,如急停按钮的正确接入和硬件互锁设计等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值