HTTP内建Authentication机制分析

最新推荐文章于 2023-12-25 17:01:01 发布
最新推荐文章于 2023-12-25 17:01:01 发布
阅读量558 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: HTTP协议 文章标签: HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/haoyifen/article/details/48865489
本文详细解析了网页登陆过程中涉及的内建用户登陆机制Authentication,并通过实例展示了如何通过HTTP请求与响应实现登陆操作。重点介绍了401 Unauthorized状态码、Base64编码在登陆验证过程中的应用,以及Python环境下对登陆信息的解码过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


内建的用户登陆机制Authentication:

访问http://linux.linuxidc.com/


网页弹出:


此时的HTTP请求和响应如下:


返回的是401 Unauthorized状态码,同时弹出需要验证的输入框

如果不输入任何信息,验证失败。


如果输入信息,用户名,密码都是www.linuxdic.com

那么就能成功登陆,页面显示了成功登陆的网页,响应如下:


在其中的Request Headers中有一行为Authentication:Basic d3d3LmxpbnV4aWRjLmNvbTp3d3cubGludXhpZGMuY29t

这个编码使用的base64编码,没有进行任何加密

在python中,我们对齐进行解码,可以看到解码出原始的信息


后面我们再进行刷新时,浏览器就会自动把Authentication这行加上去


OpenStack Octavia(Rocky)的实现与分析
烟云的计算
11-26 8938
目录 文章目录目录
深入探究基于发布/订阅模式的轻量级消息传输协议 MQTT
dvlinker的技术专栏
10-13 2万+
深入探究基于发布 / 订阅模式的轻量级消息传输协议MQTT。
[译] 从 Java EE 8 Security API 开始 —— 第二部分
I1345aabd的博客
01-04 161
清单 6 演示了login.do的登录页面,它是一个登录 backing bean 支持的 JSF(JavaServer Pages)页面,如清单 7 所示。在大多数场景中,您会发现这三个内置的实现已经足以满足您的需求。在某些场景中,您可能更喜欢编写自己的接口实现。本节中,我将介绍如何编写自定义的接口。为了确保 Java 应用程序可以使用它,您需要将接口实现为具有的 CDI bean。身份验证的 HTTP 请求。保护 HTTP 相应消息。清除提供的主体和凭据的主题。、和方法都接受相同的参数类型。
4种认证(authentication)或授权(authorization)方式
漫游学海之旅
04-12 8万+
Authentication vs. authorization It is easy to confuse authentication with another element of the security plan: authorization. While authentication verifies the user’s identity, authorization verifie...
动态创建Authentication对象
alex的博客
08-13 859
WebApplicationContext webApplicationContext = WebApplicationContextUtils                 .getWebApplicationContext(sc);         AuthenticationManager authenticationManager = (AuthenticationManager) we...
HTTP AuthenticationHTTP认证)
张花生的博客
09-20 1万+
HTTP协议规范中有两种认证方式,一种是Basic认证,另外一种是Digest认证,这两种方式都属于无状态认证方式,所谓无状态即服务端都不会在会话中记录相关信息,客户端每次访问都需要将用户名和密码放置报文一同发送给服务端,但这并不表示你在浏览器中每次访问都要自己输入用户名和密码,可能是你第一次输入账号后浏览器就保留在内存中供后面的交互使用。 BASIC基本认证 概述 ...
私有云自建托管运维机制.pdf
10-01
私有云自建托管运维机制是企业构建和管理私有云环境的重要组成部分,它涉及到从基础设施到应用程序的全面运维管理。私有云的运维管理旨在确保资源的有效利用、服务质量的保障以及系统的稳定运行。以下是对该主题的...
Apache HTTP 过滤器filter、开源WAF(ModSecurity)、Apache 模块开发
西京刀客
03-08 2977
在编写Apache模块时,需要具备C或C++编程经验和对Apache Web服务器的基本了解。另外,需要参考Apache的文档和API参考手册来编写代码和构建模块。
【k8s源码分析-Apiserver-2】kube-apiserver 结构概览以及主体部分源码分析
叮当猫的喵i
12-25 1555
假 设 所 有 的 认 证 器 都 被 启 用 , 当 客 户 端 发 送 请 求 到 kubeapiserver服务,该请求会进入Authentication Handler函数(处理认 证相关的Handler函数),在Authentication Handler函数中,会遍历已启用的认证器列表, 尝试执行每个认证器, 当有一个认证器返回 true时,则认证成功,否则继续尝试下一个认证器。当客户端发起一个请求,经过认证阶段时,只要有一个认证器通过,则认证成功。在客户端请求通过认证之后, 会来到授权阶段。
Authentication:可以执行3D面部识别的软件
05-21
验证 用于3D面部识别的软件。 该项目使用Kinect收集其信息进行处理。 在拉该项目之前,请参阅要求列表。 要求 要使用此项目,您需要做一些事情: 适用于Windows的Kinect v2或适用于XBox One的Kinect和Kinect Windows适配器 Windows版Kinect SDK 牛津项目Face API密钥 牛津计划 要获取Project Oxford密钥,请在注册Face api服务。 开发者 BJ Atchley 德尔文·霍尔 柯克·斯宾塞 扎克·科普兰
【智能家居篇】wifi网络接入原理(中)——认证Authentication
Wayne Woo的专栏
10-28 1万+
用手机来举例,扫描完成后,我们会选择想要加入的WIFI热点。此时,大部分都会弹出一个输入密码的窗口,当然也有不用输入密码的。这个过程叫做:认证(Authentication)。本文侧重讲解现当代正在使用的WPA/WPA2加密方式,特别是倾向于家庭网络的WPA-PSK/WPA2-PSK。
Authentication(Spring Security 认证笔记)
weixin_30667301的博客
03-10 270
这篇文章是对Spring Security的Authentication模块进行一个初步的概念了解,知道它是如何进行用户认证的 考虑一个大家比较熟悉的标准认证过程: 1.用户使用username和password登录 2.系统验证这个password对于该username是正确的 3.假设第二步验证成功,获取该用户的上下文信息(如他的角色列表) 4.围绕该用户建立安全上下文(s...
Redis (error) NOAUTH Authentication required.解决方法
热门推荐
basycai的博客
08-10 37万+
出现认证问题,应该是设置了认证密码,输入密码既可以啦 主要字符串形式! 127.0.0.1:6379> auth "yourpassword"------------------------------------------------------------ 127.0.0.1:6379> set name "hello" (error) NOAUTH Authentication re
HttpClient 三种 Http Basic Authentication 验证方式,你都了解了吗?
wanghao112956的博客
09-04 5023
Http Basic 简介 HTTP 提供一个用于权限控制和认证的通用框架。最常用的 HTTP 认证方案是 HTTP Basic authenticationHttp Basic 认证是一种用来允许网页浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。 (想自学习编程的小伙伴请搜索圈T社区,更多行业相关资讯更有行业相关免费视频教程。完全免费哦!) 优点 基本认证的...
HTTP Authentication(客户端请求合法性认证)
JavaBuilt的博客
03-09 5807
HTTP Authentication(客户端请求合法性认证) 最近公司项目架构设计时,需要考虑安全性问题。本章是关于 客户端请求合法性认证 的相关话题。HTTP Authentication 请求认证客户端发送请求时需认证此信息作用:防止其他方式请求资源,保护资源不被窃取方式一:Basic Authentication    当客户端发送请求时,服务器会进行认证1.    用户发送请求给服务器2...
秒懂HTTP之基本认证(Basic Authentication)
ShuSheng007的程序人生
04-27 1万+
版权申明】非商业目的注明出处可自由转载 博文地址: 出自:shusheng007 文章目录概述HTTP 的认证机制什么是认证HTTP 基本认证HTTP 基本认证的优缺点优点缺点HTTP 基本认证使用场景总结 概述 毫无疑问在现今的中国,网络已经成为广大人民群众日常的基本生活资料,我相信网络在极大丰富人民群众日常生活的同时,网络安全问题在中国将变得日益突出,如果你有志于投身计算机行业,相信网络安...
Response already committed; the authentication mechanism must be able to modify buffer size
gjlhlz521的专栏
11-28 1405
今天在弄单点登录的过滤器的时候需要跳转一个客户指定的页面,测试的时候页面页面报:Response already committed; the authentication mechanism must be able to modify buffer size 后台报:严重: Servlet.service() for servlet dispatcher threw exception j
Authentication—身份验证流程
微服务技术栈
01-21 7046
本篇是对Shiro体系架构的介绍,本栏目大部分内容来自于Shiro官网。翻译过程中已经尽量保证用词的准确性和易懂性,如有不准确或者不确切的地方,请联系作者加以修改。本篇内容翻译自Authentication特征与Authentication官方指南。 Authentication是身份验证的过程,即证明该用户是否合法,对于证明一个用户是否合法,用户需要提供一些身份识别信息,以及系统能信任的身份证...
若依先建一套token
最新发布
03-27
### 若依框架中的Token认证机制实现 若依框架是一种基于Spring Boot的快速开发平台,其内置了一些基础功能模块,其中包括用户认证和授权管理。在若依框架中实现Token认证机制通常采用JSON Web Token (JWT) 技术[^4]。 #### JWT的工作原理 JWT 是一种开放标准 (RFC 7519),用于在网络应用环境间安全地传输信息。它通过签名算法确保数据的可信度,并允许服务器验证客户端的身份而无需保存会话状态。具体流程如下: - 用户发送用户名和密码到服务器进行登录。 - 如果凭证有效,则服务器生成一个JWT并将其返回给客户端。 - 客户端在后续请求中携带该JWT(通常是放在HTTP Header的Authorization字段中),以便服务器验证身份[^3]。 #### 若依框架中的Token认证实现步骤 以下是若依框架中实现Token认证的主要技术要点: ##### 1. **依赖引入** 在 `pom.xml` 文件中添加必要的依赖项来支持JWT以及相关的安全性组件。例如: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` ##### 2. **配置全局认证策略** 类似于Django Rest Framework中的设置,在Spring Boot应用程序中可以通过修改 `application.yml` 或者 Java 配置类指定默认的身份验证方式为Token认证。下面是一个典型的例子[^2]: ```yaml spring: security: oauth2: resource: jwt: key-value: | -----BEGIN PUBLIC KEY----- ...公钥内容... -----END PUBLIC KEY----- ``` 同时还需要调整REST API的安全规则以适应新的认证模式。 ##### 3. **创建自定义过滤器处理Token解析与校验逻辑** 编写一个继承自 `OncePerRequestFilter` 的类用来拦截所有进入系统的请求,并从中提取出Token信息加以分析。如果发现非法操作则立即终止链路;反之继续向下执行业务逻辑。 ```java public class JwtAuthenticationTokenFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { String authHeader = request.getHeader("Authorization"); if (!StringUtils.isEmpty(authHeader)) { try { Claims claims = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody(); // 设置当前线程上下文中用户详情对象供后续调用方获取 UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken( usernameFromToken(claims), null, getAuthorityList(claims)); SecurityContextHolder.getContext().setAuthentication(authentication); } catch (Exception e){ logger.error(e.getMessage(),e); throw new BadCredentialsException("Invalid token received!"); } } chain.doFilter(request,response); } } ``` 上述代码片段展示了如何利用Java代码完成对传入Http Request Headers里的Authorization部分解码还原成原始User Details的过程。 ##### 4. **集成Postman工具测试API接口** 当完成了整个后端服务端关于Token的相关编码之后就可以借助像Postman这样的第三方软件来进行初步的功能性检测了。按照之前提到过的思路先模拟一次成功的Login Action拿到有效的Access Token再拿这个值填充至其它受保护资源访问路径之上观察预期效果是否一致即可。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值