本文介绍了HTTP的基本认证和摘要认证。基本认证是将用户名和密码Base64编码后放入请求头,但存在安全隐患。摘要认证则通过密码摘要提高安全性,避免明文传输,并能抵抗重放攻击和报文篡改。Fiddler的TextWizard工具可用于编码解码。
1.Basic认证
把 "用户名+冒号+密码"用BASE64编码的字符串放在http request 中的header Authorization中发送给服务端, 这种方式叫HTTP基本认证
认证流程
请求: 客户端发送http request 给服务器
质询: 因为request中没有包含Authorization header,服务器会返回一个401 拒绝请求(Basic:说明需要基本认证,realm:说明客户端需要输入这个安全区的用户名和密码)
授权 :客户端程序发出请求,这一次会加上Authorization heade,用来说明认证算法,用户名和密码(由于用户名密码是通过Base64编码得到的,而Base64不属于加密范畴,可以被逆向解码,等同于
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
