31、HTTP 标准特性解析

HTTP 标准特性解析

1. 摘要认证（Digest Authentication）

摘要认证的加密过程比 HTTP 基本认证复杂得多，但流程相似，都包含请求、挑战、响应三个步骤。关键差异在于：
- 服务器无法从摘要中推断出用户密码。客户端为某个领域设置密码时，服务器会计算 user:realm:password 的哈希值（如示例中的 ha1 ）并保存，这样服务器就能在不存储用户实际密码的情况下计算最终的 ha3 值。
- 客户端的每个请求实际上是两个请求。第一个请求用于获取挑战，不包含认证信息，通常会返回 401（“未授权”）状态码。但 WWW-Authenticate 头包含一个唯一的随机数（nonce），客户端可利用它构建合适的 Authorization 头，然后发起第二个请求，该请求通常会成功。而在基本认证中，客户端可在第一个请求时就发送授权凭证以避免挑战，摘要认证则无法这样做。

摘要认证还有一些选项，例如指定 qop=auth-int 而非 qop-auth 时， ha2 的计算必须包含请求的实体主体，而不仅仅是 HTTP 方法和 URI 路径，这能防止中间人篡改 PUT 和 POST 请求的表示。

WWW-Authenticate 头表示“假设你知道秘密，这里是认证所需的所有信息”， Authorization 头表示“我知道秘密，这是证明”，其他部分主要是参