详解HTTP中的摘要认证机制

最新推荐文章于 2025-02-26 09:31:42 发布
最新推荐文章于 2025-02-26 09:31:42 发布
阅读量3.2w 收藏 31
点赞数 12
分类专栏: 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tenfyguo/article/details/8661517
版权
本文详细解析了HTTP中的摘要认证,对比Basic认证的不足,摘要认证通过传递密码摘要、使用随机数nonce防止重放攻击,支持对服务器的认证,提高了安全性。介绍了摘要认证的握手过程、摘要计算以及随机数生成策略,旨在提供更安全的HTTP认证方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        在上一期http://blog.youkuaiyun.com/tenfyguo/article/details/6167190中笔者较为详细的介绍了HTTPBasic认证在apache下的配置,通过简单的实验演示了HTTP Basic认证的基本原理。

       但是,聪明的读者很快可以发现,这种认证方式是存在很多缺陷的,具体表现如下:

1,  Basic认证会通过网络发送用户名和密码,并且是以base64的方式对用户名和密码进行简单的编码后发送的,而base64编码本身非常容易被解码,所以经过base64编码的密码实际上是明文发送的。

2,  即使密码是经过加密传输的,当第三方用户仍然可以捕获被修改过的用户名和密码,并将修改过的用户名和密码反复多次的重放给原始服务器,以获得对服务器的访问权,Basic认证没有什么措施可以用来防止这些重放攻击。

3,  一些不良习惯会使得Basic认证更加危险,那就是用户由于受不了大量密码保护的服务,会在这些不同的服务间使用相同的用户名和密码。

4,  Basic认证没有提供任何针对代理和作为中间人的中间节点的防护措施,它们没有修改认证首部,但却能够修改报文的其余部分,这样就严重的改变了事务的本质。即Basic认证没法支持对内容或者报文本身的保护。

5,  Basic不支持对称认证,即客户端无法认证服务器的合法性,因此客户端很容易被钓鱼到一个非法的服务器从而输入了用户名和密码。

      综上,Basic 认证存在很多的不足,使得一般只能用在一些非常简单场景而不能很好的支持真正的产品级别的运用。

   

最低0.47元/天 解锁文章
HTTP摘要认证 Digest access authentication
AURORA
01-14 1147
第三方接口对接:摘要认证 Digest access authentication HTTP认证方式: BASIC 认证(基本认证); DIGEST 认证摘要认证); SSL 客户端认证; FormBase 认证(基于表单认证); 1、摘要认证流程: (1) 服务器计算出一个随机数。 (2) 服务器将这个随机数放在 WWW-Authenticate 质询报文中,与服务器所支持的算法列表一同发往客户端。 (3) 客户端选择一个算法,计算出密码和其他数据的摘要。 (4) 客户端将摘要放在一
HTTP 摘要认证
心愿许得无限大
04-06 1681
讲解 HTTP 摘要认证,并提供相关的例子
身份认证机制(整理)
最新发布
xawangxiaolong的博客
02-26 669
MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。拆分成三部分进行理解。数据:指任何以电子或者非电子形式对信息的记录。数据分类:根据组织数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用组织数据的过程。
HTTP摘要认证
jesse881025的专栏
02-26 2992
http://zh.wikipedia.org/wiki/HTTP摘要认证点击打开链接 摘要访问认证是一种协议规定的Web服务器用来同网页浏览器进行认证信息协商的方法。它在密码发出前,先对其应用哈希函数,这相对于HTTP基本认证发送明文而言,更安全。 从技术上讲,摘要认证是使用随机数来阻止进行密码分析的MD5加密哈希函数应用。它使用HTTP协议。
HTTP认证方式之DIGEST 认证摘要认证
LZHH_2008的博客
10-12 6938
DIGEST 认证摘要认证
WebApi接口安全认证——HTTP摘要认证
Mars Huang
09-17 3855
摘要访问认证是一种协议规定的Web服务器用来同网页浏览器进行认证信息协商的方法。它在密码发出前,先对其应用哈希函数,这相对于HTTP基本认证发送明文而言,更安全。从技术上讲,摘要认证是使用随机数来阻止进行密码分析的MD5加密哈希函数应用。它使用HTTP协议。 一、摘要认证基本流程: 1.客户端请求 (无认证)` GET /dir/index.html HTTP/1.0 Host: localhos...
HTTP摘要认证详解:RFC2617中文版
HTTP digest认证通过提供安全的认证机制,保护了用户的登录凭证,使得在不安全的网络环境中也能相对安全地进行身份验证。理解和正确实现digest认证对于任何处理HTTP身份验证的开发者都至关重要。
揭秘HTTP摘要认证机制:RFC 2617的权威解读与实践指南
[揭秘HTTP摘要认证机制:RFC 2617的权威解读与实践指南](https://img-blog.csdnimg.cn/a0d3a746b89946989686ff9e85ce33b7.png) # 摘要 本文全面阐述了HTTP摘要认证机制,提供了从RFC 2617标准的理论基础到实际应用...
Java安全知识点详解:加密、认证、防护和漏洞扫描
06-19
Java安全涉及多个方面,包括加密和解密、安全认证和授权、安全通信和防护,以及安全漏洞扫描。本文将深入探讨这些关键知识点。 首先,加密和解密是信息安全的基础。对称加密,如DES和AES,使用相同的密钥进行加解密...
Spring Boot项目中的用户认证机制详解
Spring Security支持多种认证机制,如表单登录、LDAP认证、OAuth2等。开发者可以通过配置AuthenticationManagerBuilder来自定义认证提供者。 5. 授权策略 授权策略通常通过在configure(HttpSecurity http)方法中...
详解HTTP摘要认证
静水流深
08-31 1832
典型的认证过程 客户端请求一个需要认证的页面,但是不提供[用户名]和[密码]。通常这是由于用户简单的输入了一个地址或者在页面中点击了某个[超链接]。 服务器返回[401] “Unauthorized” 响应代码,并提供认证域(realm),以及一个随机生成的、只使用一次的数值,称为[密码随机数 nonce]。 此时,浏览器会向用户提示认证域(realm)(通常是所访问的计算机或系统的...
HTTP 认证:基本认证摘要认证
Gnahzi
09-26 964
平时我们浏览网站时要登录的话需要提供帐号和密码以便验证身份,同理 HTTP 认证也是如此,但客户端需要访问服务器获取私人资源的话,就需要提供信息身份证明给服务器验证,验证通过才返回资源。 HTTP 官方定义了 2 个协议:基本认证(basic authentication)和摘要认证(digest authentication)。 一、基本认证 基本认证是目前最流行的 HTTP 认证协议,于 HTTP/1.0 规范中提出。基本认证过程中,服务器可以拒绝一个事务,质询客户端要求提供用户名和密码,服务器会返回
HTTP认证介绍(Basic基本认证和Digest摘要认证)和搭建windows HTTP服务器
mayue_web的博客
09-26 4338
HTTP认证是一种用于保护Web应用程序的一种身份验证机制。它通过在HTTP请求的头部添加认证信息,来验证用户的身份和权限。HTTP认证可以用于保护敏感信息,限制访问某些资源,或者在访问某些操作之前要求用户提供凭据。HTTP认证有几种不同的认证方式,包括:Basic认证:Basic认证是最常见的HTTP认证方式之一。在Basic认证中,客户端发送请求时,会在请求头中包含一个"Authorization"字段,该字段包含了经过Base64编码的用户名和密码。
Spring Security系列教程06--实现HTTP摘要认证
一一哥
09-17 1585
前言 在前面的2个章节中,一一哥 带大家认识了Spring Security中的第基本认证与表单认证 2种认证方式,其中表单认证是Spring Security默认的认证方式,也是开发时最常用的认证方式。有的小伙伴会问,不是还有第3种认证方式吗?对的,还有第三种摘要认证方式!在本文中,我们来学习了解一下HTTP摘要认证。 但是对于摘要认证,我们仅做了解即可,因为这种认证方式仅比基本认证稍微安全一点,开发时用的也不是很多。抱着艺多不压身的心态,我们多了解一点反正也没坏处。 一. HTTP摘要认证 1.
HTTP摘要认证的C语言实现
北京老向 blog
06-29 2026
 SIP的用户注册和RTSP的DESCRIBE之后要用摘要认证(digestauthentication)。 digest的算法:A1 =username:realm:password A2 = mthod:uriHA1= MD5(A1) 如果 qop 值为“auth”或未指定,那么 HA2 为 HA2 =MD5(A2)=MD5(method:uri) 如果 qop 值为“auth-int”,那么...
HTTP Authentication之Basic认证、Digest认证
zyooooxie的博客
11-14 3425
Basic and Digest Access Authentication: 使用Postman、requests、JMeter来操作
HTTP认证方式
热门推荐
hotnet522的专栏
08-19 3万+
HTTP请求报头: Authorization HTTP响应报头: WWW-Authenticate HTTP认证基于质询/回应(challenge/response)的认证模式。 ◆ 基本认证 basic authentication   ← HTTP1.0提出的认证方法 客户端对于每一个realm,通过提供用户名和密码来进行认证的方式。 ※ 包含密码的明文传递 基本认证步骤: 1. 客户端访问一个受http基本认证保护的资源。
HTTP协议详解
不懂love的博客
10-25 560
一、概念协议是指计算机通信网络中两台计算机之间进行通信所必须共同遵守的规定或规则,超文本传输协议(HTTP)是一种通信协议,它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器。HTTP协议,即超文本传输协议(Hypertext transfer protocol)。是一种详细规定了浏览器和万维网(WWW = World Wide Web)服务器之间互相通信的规则,通过因特网传
如何正确处理nonce
关于代码的那些事
09-14 8982
问题概述 以太坊系列(ETH&ETC)在发送交易有三个对应的RPC接口,分别是ethsendTransaction、ethsendRawTransaction和personal_sendTransaction。这三个接口发送(或构造发送内容时)都需要一个参数nonce。官方文档对此参数的解释是:整数类型,允许使用相同随机数覆盖自己发送的处于pending状态的交易。 官网解释 仅从官...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值