摘要认证简介

于 2024-07-02 10:33:25 发布
阅读量448 收藏 1
点赞数 1
分类专栏: 其他 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/vinegar93/article/details/140120018
版权

1、定义
摘要认证(Digest Authentication)是一种用于在网络通信中验证用户身份的认证方法。
2、流程
(1)客户端发送一个未经认证的请求到服务器。
(2)服务器返回一个HTTP 401 Unauthorized响应,其中包含一个WWW-Authenticate头部字段。
(3)客户端收到401响应后,会根据服务器提供的信息,计算出一个摘要(digest)。客户端将摘要信息添加到请求头中,并重新发送认证请求。
(4)服务器收到带有摘要的请求后,会使用相同的算法计算出摘要,并与客户端发送的摘要进行比较,如果一致,则服务器会接受该请求并返回请求的资源,否则,服务器拒绝请求并返回401。
3、简单实例
(1)常用参数

username,用户。
password,密码。
realm,域,用来指示需要哪个域的用户名和密码。
nonce,服务端产生的随机数,唯一的、不重复的。
nc,认证的次数。
cnonce,客户端产生的随机数,唯一的、不重复的。
qop,包含auth和auth-int两种策略。
opaque,服务器端产生的字符串,透传而已。
response,服务器根据相关信息计算摘要,并与客户端传过来的response值对比,如果一样,则认证通过,否则通不过。

(2)实例
例如,第2(2)节,服务器生成nonce,如下

long expiryTime = System.currentTimeMillis() + (300 * 1000);
String signatureValue = DigestUtils.md5Hex(expiryTime + ":" + key);
String nonceValue = expiryTime + ":" + signatureValue;
String nonceValueBase64 = new String(Base64.getEncoder().encode(nonceValue.getBytes()));
String authenticateHeader = String.format("Digest realm=\"%s\", qop=\"auth\", nonce=\"%s\", opaque=\"%s\"", realm, nonceValueBase64, opaque);
......

例如,第2(4)节,服务器计算并比对摘要

String a1Md5 = DigestUtils.md5Hex(username + ":" + realm + ":" + password);
String a2Md5 = DigestUtils.md5Hex(httpMethod + ":" + uri);
String serverDigestMd5 = DigestUtils.md5Hex(a1Md5 + ":" + nonce + ":" + nc + ":" + cnonce + ":" + qop + ":" + a2Md5);
if (!serverDigestMd5.equals(response)) {
	......
}
HTTP Digest authentication
Andrea的笔记
05-14 1万+
最近学习了HTTP Digest,并且分别在php和android实现了server端和服务器端逻辑
Spring Security-02-Spring Security认证方式-HTTP基本认证、Form表单认证HTTP摘要认证、前后端分离安全处理方案
最新发布
苍云烟
11-04 1240
Spring Security-02-Spring Security认证方式-HTTP基本认证、Form表单认证HTTP摘要认证、前后端分离安全处理方案认证方式HTTP基本认证基本认证简介基本认证核心API基本认证的步骤基本认证的弊端HTTP基本认证代码实现创建SecurityConfig配置类测试验证Basic认证详解基本认证过程注销Basic认证Form表单认证表单认证简介表单认证效果表单认证中的预置url和页面自定义表单认证配置创建SecurityConfig配置类测试应用自定义表单认证的登录界面。
HTTP 摘要认证
心愿许得无限大
04-06 1683
讲解 HTTP 摘要认证,并提供相关的例子
ASP.NET Web API(三):安全验证之使用摘要认证(digest authentication)
weixin_34361881的博客
07-05 337
在前一篇文章中,主要讨论了使用HTTP基本认证的方法,因为HTTP基本认证的方式决定了它在安全性方面存在很大的问题,所以接下来看看另一种验证的方式:digest authentication,即摘要认证。 系列文章列表 ASP.NET Web API(一):使用初探,GET和POST数据ASP.NET Web API(二):安全验证之使用HTTP基本认证ASP.NET Web API(三):安...
详解摘要认证
weixin_34418883的博客
12-01 552
1. 什么是摘要认证摘要认证与基础认证的工作原理很相似,用户先发出一个没有认证证书的请求,Web服务器回复一个带有WWW-Authenticate头的响应,指明访问所请求的资源需要证书。但是和基础认证发送以Base 64编码的用户名和密码不同,在摘要认证中服务器让客户端选一个随机数(称作”nonce“),然后浏览器使用一个单向的加密函数生成一个消息摘要(message digest),该摘要是关于...
HTTP认证摘要认证——Digest
u010068160的博客
08-07 1987
一、概述 Digest认证是为了修复基本认证协议的严重缺陷而设计的,秉承“绝不通过明文在网络发送密码”的原则,通过“密码摘要”进行认证,大大提高了安全性。 相对于基本认证,主要有如下改进: 绝不通过明文在网络上发送密码 可以有效防止恶意用户进行重放攻击 可以有选择的防止对报文内容的篡改 需要注意的是,摘要认证除了能够保护密码之外,并不能保护其他内容,与HTTPS配合使用仍是一个良好的选择。以下是摘要认证的具体流程图: 看到上面出现了那么多之前没见过的参数,...
HTTP认证方式之DIGEST 认证摘要认证
LZHH_2008的博客
10-12 6942
DIGEST 认证摘要认证
Apache Security-3 Digest Authentication(摘要认证)简介及实战
佐井白白的微笑
08-09 1540
说明 准备工作 需要哪些模块 摘要认证Digest Authentication 1 摘要认证如何工作 2 实战 小结1. 说明本文系我的"Web Server & Web Technology (WSWT)系列博客之一,主要讲解Linux系统的Apache配置和使用,以及如何使用apache搭建自己的个人网站".该系列博客的总目录参见这里http://blog.youkuaiyun.com/u01430304
ISAPI协议Digest摘要认证实现详解与步骤
**Digest摘要认证简介** Digest摘要认证是一种基于HTTP协议的安全机制,它通过加密传输用户的敏感信息,如用户名和密码,避免了明文方式在网络中的暴露。这种方法利用哈希函数(如MD5)生成一个摘要,这个摘要包含...
SIP认证机制与HTTP摘要认证解析
"SIP认证机制简介,主要探讨了基于HTTP摘要认证的SIP认证方法,强调了Digest认证机制的安全性和对Basic认证的排斥。文档还介绍了SIP认证的框架,与HTTP认证的相似性,以及在SIP中使用401和407响应码的不同情况。" ...
rtsp摘要认证
05-31
通过一个实例详细介绍了rtsp摘要认证的具体流程,并说明了response字段的计算规则。
消息摘要与身份认证
qq_54580973的博客
05-05 463
一、消息摘要 消息摘要算法是密码学算法中非常重要的一个分支,它用于生成数据的"指纹",具有不可逆性。消息摘要算法也被称为哈希(Hash)算法或散列算法。 消息摘要算法的主要特征是加密过程不需要密钥,并且经过加密的数据无法被解密。著名的摘要算法有MD5算法和SHA-1算法。 (一)、MD5算法 中文名为:消息摘要算法第五版 由MD2、MD3、MD4发展而来; 是最常用的一种散列函数,用以提供消息完整性保护; 无法从结果还原出原始信息。 算法的输入输出 输入:任何长度的字节流 输出.
摘要认证
dawn's Blog
02-19 1221
1.摘要认证的改进 1.1.用摘要保护密码 摘要认证遵循“绝不通过网络发送密码”。客户端发送一个“指纹”或者密码的“摘要”,是密码的不可逆扰码。 1.2.单向摘要 z还要是对信息主体的浓缩。摘要是一个单向函数,主要是将无线个输入值转换为有限的浓缩输出值。 常见的摘要函数MD5,会将任意长度的字节序列转换为一个128位二级制的摘要。2^128种输出值。通常会被写成32位十六进制的字
Http协议(5)—HTTP摘要认证
02-15 2544
一、摘要认证的改进         1.用摘要保护密码             客户端不发送密码,而是发送一个摘要,服务端只需验证这个摘要是否和密码相匹配                  2.单向摘要             a.摘要是一种单向函数,将无限的输入值转化为有限的             b.常见的摘要为MD5:
摘要认证和签名认证
bobozai86的博客
10-27 611
1、摘要认证 经由HTTP协议进行通信的数据大都是未经加密的明文,包括请求参数、返回值、cookie、head等数据,因此,外界通过对通信的监听,便可以轻而易举的根据请求头和响应双方的格式,伪造请求与响应,修改和窃取各种信息。 1.1摘要认证原理 对于普通的非敏感数据,我们需要更多关注其真实性和准确性,鉴于使用HTTPS性能上的成本以及额外需要申请CA证书,...
HTTP - 摘要认证
weixin_30547797的博客
05-13 133
基本认证便捷灵活,但极不安全。用户名和密码都是以明文形式传送的,也没有采取任何措施防止对报文的篡改。安全使用基本认证的唯一方式就是将其与 SSL 配合使用。 摘要认证是另一种 HTTP 认证协议,它与基本认证兼容,但却更为安全。摘要认证试图修复基本认证协议的严重缺陷。具体来说,摘要认证进行了如下改下: 永远不会以明文方式在网络上发送密码。 可以防止恶意用户捕获并重放认证的握手过程。 可...
Digest Authentication 摘要认证
weixin_34007906的博客
03-23 458
摘要”式认证( Digest authentication)是一个简单的认证机制,最初是为HTTP协议开发的,因而也常叫做HTTP摘要,在RFC2671中描述。其身份验证机制很简单,它采用杂凑式(hash)加密方法,以避免用明文传输用户的口令。 摘要认证就是要核实,参与通信的双方,都知道双方共享的一个秘密(即口令)。 当服务器想要查证用户的身份,它产生一个摘要盘问(digest...
digest ~ 摘要认证
qq_38773692的博客
06-06 346
引入 jar包 UTF-8 3.2.10.RELEASE /tmp/ org.springframework spring-oxm ${org.springframework.version} org.springframework spring-jms ${org.springframework.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值