用不完的好奇心

本章只需了解摘要认证的基本概念和流程即可，关于 HTTP 的安全问题，重点关注下一章。基本认证便捷灵活，但极不安全。用户名和密码都是以明文形式传送的，也没有采取任何措施防止对报文的篡改。安全使用基本认证的唯一方式就是将其与 SSL 配合使用。摘要认证与基本认证兼容，但却更为安全。摘要认证进行了如下改进： 永远不会以明文方式在网络上发送密码。可以防止恶意用户捕获并重放认证的握手过程。 可以

摘要认证的核心就是对公共信息、保密信息和有时限的随机值这个组合的单向摘要。1. 摘要算法的输入数据摘要是根据以下三个组件计算出来的: * 由单向散列函数 H(d) 和摘要 KD(s,d) 组成的一对函数，其中 s 表示密码，d 表示数据。 * 一个包含了安全信息的数据块，包括密码，称为 A1。 * 一个包含了请求报文中非保密属性的数据块，称为 A2。H 和 KD 处理两块数据 A1 和 A2

可以在三种摘要首部中提供 qop 字段：WWW-Authenticate、Authorization 和 Authentication-Info。通过 qop 字段，客户端和服务器可以对不同类型及质量的保护进行协商。比如，即便会严重降低传输速度，有些事务可能也要检查报文主体的完整性。服务器首先在 WWW-Authenticate 首部输出由逗号分隔的 qop 选项列表。然后客户端从中选择一个它支

1. 多重质询服务器可以对某个资源发起多重质询。比如，如果服务器不了解客户端的能力，就可以既提供基本认证质询，又提供摘要认证质询。客户端面对多重质询时，必须以它所支持的最强的质询机制来应答。质询自身可能会包含由逗号分隔的认证参数列表。如果 WWW-Authenticate 或 Proxy-Authenticate 首部包含了多个质询，或者提供了多个 WWW-Authenticate 首部，用户

1. 首部篡改为了提供一个简单明了的防首部篡改系统，要么就得进行端到端的加密，要么就得对首部进行数字签名——最好是两者的结合。摘要认证的重点在于提供一种防篡改认证机制，但并不一定要将这种保护扩展到数据上去。具有一定保护级别的首部只有 WWW-Authenticate 和 Authorization。2. 重放攻击重放攻击指的就是有人将从某个事务中窃取的认证证书用于另一个事务。尽管对 GET