HTTP 验证

最新推荐文章于 2024-04-21 21:36:13 发布
原创 最新推荐文章于 2024-04-21 21:36:13 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了HTTP的基本验证机制,当请求带有WWW-Authenticate头的资源时,浏览器会弹出授权对话框,用户输入的用户名和密码经过Base64编码发送在Authorization头中。此外,还提到了摘要访问验证,通过设置有效用户和密码来实现登录验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

HTTP基本验证(WWW-Authenticate)

    public function indexAction(){
        $this->requireAuth();        
    }
    public function forceAuth(){
        //PHP Protected Area 这个是弹框中显示的内容
        header('WWW-Authenticate: Basic realm="PHP Protected Area"');
        header('HTTP/1.0 401 Unauthorized');
        die('验证被取消');
    }
    public function requireAuth(){
        if ( isset($_SERVER['PHP_AUTH_USER'],$_SERVER['PHP_AUTH_PW']) ){
            $username = $_SERVER['PHP_AUTH_USER'];
            $pwd = $_SERVER['PHP_AUTH_PW'];
        }
        //简单的判断
        if (isset($username) && $username!='zyk'){
            //验证不通过
            $this->forceAuth();
        }else{
            echo "<p>你的用户名{$username}</p>";
            echo "<p>你的密码{$pwd}</p>";
            echo base64_decode('YToxMjM');
        }
    }

请求该方法页面会出现一个要求授权的弹框
输入对应的信息之后在请求头里会有
Authorization Basic YToxMjM=
其中YToxMjM= 是base64(username:password)
这个可以做一个很简单的验证

摘要访问验证

public function indexAction()
    {
        $this->requireAuth();

    }

    private function forceAuth($realm,$nonce){
        // $nonce:服务端的随机数据
        header('WWW-Authenticate: Digest realm="'.$realm.'",qop="auth",nonce="'.$nonce.'",opaque="'.md5($realm).'"');
        header('HTTP/1.0 401 Unauthorized');
        die('验证被取消');
    }
    private function requireAuth(){
        $realm = 'check';
        //生成随机数
        $nonce = uniqid();
        $digest = $this->getDigest();
        if ($digest==''){
            $this->forceAuth($realm, $nonce);
        }
        $digestParts = $this->digestParse($digest);
        //var_dump($digestParts);
        $validUser = 'admin1';
        $validPass = '123';
        //$validUser用户名  $realm:保护领域名称
        $A1 = md5("{$validUser}:{$realm}:{$validPass}");
        $A2 = md5("{$_SERVER['REQUEST_METHOD']}:{$digestParts['uri']}");

        //cnonce:客户端的随机数据,使用qop指令才会有   qop:客户端选定的保护方法   nc:客户端重复使用nonce时的使用次数
        $validResponse = md5("{$A1}:{$digestParts['nonce']}:{$digestParts['nc']}:{$digestParts['cnonce']}:{$digestParts['qop']}:{$A2}");
        if ($digestParts['response']!=$validResponse){
            $this->forceAuth($realm, $nonce);
        }

        echo '登录成功';
    }


    private function getDigest(){
        if (isset($_SERVER['PHP_AUTH_DIGEST'])){
            //username="admin", realm="check", nonce="5b98dd65f1a92", uri="/test/index", response="3499757ece7ffbe82f24fb5efb30b90a", opaque="0ba4439ee9a46d9d9f14c60f88f45f87", qop=auth, nc=00000005, cnonce="da76265c17be484a"
            return $_SERVER['PHP_AUTH_DIGEST'];
        }elseif (isset($_SERVER['HTTP_AUTHENTICATION']) && strpos(strtolower($_SERVER['HTTP_AUTHENTICATION']), 'digest')===0){
            return substr($_SERVER['HTTP_AUTHENTICATION'], 7);
        }
        return '';
    }

    /**
     * 提取签名信息
     * @param unknown $digest  */
    private function digestParse($digest){

        //要校验的参数,防止数据丢失
        $need_parts = [
            'nonce'=>1,
            'nc'=>1,
            'cnonce'=>1,
            'qop'=>1,
            'username'=>1,
            'uri'=>1,
            'response'=>1,
        ];
        //$digest类似 username="admin", realm="check", nonce="5b98dd65f1a92",uri="/test/index", response="3499757ece7ffbe82f24fb5efb30b90a",opaque="0ba4439ee9a46d9d9f14c60f88f45f87", qop=auth, nc=00000005, cnonce="da76265c17be484a"
        //\w:由数字、26个英文字母或者下划线组成的字符串  ?:表示这个括号里的分组不会被引用/捕获  \s任意一个空白字符(空格、换行符、换页符、回车符、字表符)
        //书上方式1:preg_match_all('/(\w+)=(?:(?:")([^"]+)"|([^\s,$]+))*/', $digest,$matches,PREG_SET_ORDER);
        //自己写的方法
        preg_match_all('/(\w+)="?([^",]+)["|,],?/',$digest,$matches,PREG_SET_ORDER);

        foreach ($matches as $m){
            $data[$m['1']] = $m['2']?$m['2']:$m['3'];
            //将匹配到的参数删除
            unset($need_parts[$m['1']]);
        }
        //为空说明,参数都有匹配到
        return empty($need_parts)?$data:false;
    }

出现下面的弹框说明成功一般

这里写图片描述

输入你设定的,进行登录
$validUser = ‘admin1’;
$validPass = ‘123’;

HTTP 中的用户身份验证
zwkkkk1的博客
08-29 1万+
  身份验证是判断客户端是否有资格访问资源的过程。HTTP 协议支持将身份验证作为协商访问安全资源的一种方式。   来自客户端的初始请求通常是匿名请求,不包含任何身份验证信息。 HTTP 服务器应用程序可以拒绝匿名请求,而同时指示必须进行身份验证。   服务器应用程序发送 WWW-Authentication 头来指示受支持的身份验证方案。 HTTP/1.1 使用认证方式如下: BAS...
HTTP 第七章 身份验证
最新发布
aXin_li的博客
04-29 4205
身份验证是一种在HTTP请求中验证用户身份的方法。它允许Web服务器验证用户的身份,并且只授予已验证用户访问受保护资源的权限。
http验证
weixin_33970449的博客
04-23 198
read -p "输入要添加的用户名: " USERNAME read -p "输入密码: " PASSWD printf "$USERNAME:$(openssl passwd -crypt ${PASSWD})\n" >> passwd nginx: location / { auth_basic "Please enter username and p...
HTTP基础验证
ou_nvhai的博客
06-26 435
http基本验证的大概流程
HTTP认证
Wengzhengcun的博客
12-29 480
基本认证:用户信息BASE64后传给服务器,存在被第三方截获,篡改报文内容或实施重放攻击的危险。 摘要认证:使用有过期时间的随机数做对称密钥,使用MD5加密报文,能有效防止报文内容被篡改或者重放攻击。但是,存在N个服务器节点与N个客户端交互时,会产生N的二次方个密钥,服务器难以维护数量如此庞大的密钥。 证书认证:使用CA证书,在证书中公开唯一的公钥,服务器自己保管唯一的私钥,可以完美解...
支持HTTP验证的BOA源码0.94.14rc21
07-29
在这个场景中,"支持HTTP验证的BOA源码0.94.14rc21" 提供了包含HTTP验证功能的BOA服务器的源代码,版本号为0.94.14rc21。 BOA的特性: 1. **轻量级**:BOA占用资源少,适合在低端硬件或者资源有限的环境中运行。 2....
angularjs-forms:带有 http 验证和引导程序的 AngularJS 表单示例
06-30
AngularJS 表单和验证 关于 AngularJS 表单和验证主题的博客的支持代码 ( )。 该代码说明了 AngularJS 与 HTML 表单和许多有用的内置指令的集成。 它还着眼于验证,并投入了一些 Bootstrap 以进行良好的衡量。
login-with-ssh, 使用 SSH http验证web会话的实验.zip
10-10
login-with-ssh, 使用 SSH http验证web会话的实验 使用SSH登录的这里是演示。这是一个简单的通过SSH验证网络会话的实验。 这样做可以为你提供完全分散的。无密码的认证 !工作原理定制的SSH服务器监听连接。 它不是...
Swift的可插入HTTP身份验证。-Swift开发
05-27
出色的Swift可插拔HTTP身份验证。 优点iOS钥匙串中安全,安全的令牌存储。 自动处理401响应和重新认证。 可扩展以处理线程中的许多并发请求-Swift的出色可插拔HTTP身份验证。 优点在iOS钥匙串中安全,安全地存储令牌...
http认证原理和https
wjxbj的博客
01-24 361
一.基础介绍         在URL前加https://前缀表明是用SSL加密的。 你的电脑与服务器之间收发的信息传输将更加安全。         Web服务器启用SSL需要获得一个服务器证书并将该证书与要使用SSL的服务器绑定。 httphttps使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。http的连接很简单,是无状态的。         HTTPS...
了解 HTTP 身份验证
枫叶的专栏
03-06 1251
了解 HTTP 身份验证 .NET Framework 4 其他版本 此主题尚未评级 评价此主题 身份验证是判断客户端是否有资格访问资源的过程。HTTP 协议支持将身份验证作为协商访问安全资源的一种方式。 来自客户端的初始请求通常是匿名请求,不包含任何身份验证信息。HTTP 服务器应用程序可以拒绝匿名请求,而同时指示必须
HTTP基本认证
qq_36428954的博客
05-23 4155
HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供用户名和密码的一种方式。 在进行基本认证的过程里,请求的HTTP头字段会包含Authorization字段,形式如下:Authorization: Basic <憑證>,该凭证是用户和密码的组和的base64编码。 最初,基本认证是定义在HTTP 1.0规范(RFC 1945)中,后续的有关安全的信息可以在HTTP 1.1规范(RFC 2616...
HTTP基本认证(Basic Authentication)
热门推荐
一个写了10年bug的程序员日常笔记。
11-30 3万+
在浏览网页时候,浏览器会弹出一个登录验证的对话框,如下图,这就是使用HTTP基本认证。 1、 客户端发送http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的话, 服务器会返回一个401 Unauthozied给客户端,并且在Response 的 header “WWW-Authenticate” 中添加信息。 如下图。2、:浏览器在接受到401 Unautho
HTTP 身份验证框架(Basic 认证)
编码行者的博客
10-20 2283
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Status/401 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/WWW-Authenticate https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Authentication RFC 7235 定义了一个 HTTP 身份验证框架,服务器可以用来针对客户端的请求发送 challeng.
HTTP的密码验证方法和使用
麻瓜的博客
08-08 1385
//在cocos creator中将数据传入服务器中. 利用editBOX创建输入框  cc.find("Canvas/loginClient/Button").on(cc.Node.EventType.TOUCH_START, function (event) {             var xhr = new XMLHttpRequest();             xhr.onr
Windows系统HTTP身份验证方法
weixin_34362790的博客
03-19 2043
当Windows客户端尝试使用HTTP协议访问基于Web的资源时,会在客户端和服务器之间建立“对话”。换句话说,服务器告诉客户端,访问资源之前进行身份验证 ,并且服务器还告诉客户端哪些类型的认证机制可以接受通信。客户端使用它支持的身份验证方法进行访问,如果服务器可以接受,则建立会话。用户凭据(用户名和密码)将发送到服务器,这些凭证可能安全,也可能不安全。实际上,服务器可能根本...
校验以http https 开头的链接
csstmg的博客
08-10 1340
const regWebsit = /(https):\/\/[\w\-_]+(\.[\w\-_]+)+([\w\-\.,@?^=%&:/~\+#]*[\w\-\@?^=%&/~\+#])?/ if (value) { if (regWebsit.test(value)) { callback() } else { callback(new Error('网址格式不正确(请输入以https开头的链接地址)'.
如何用JS校验HTTPHTTPS地址
qq_43474235的博客
04-21 1834
在日常开发过程中,我们有时候对某些应用功能进行封装,但是在请求接口又不能写死,这个时候我们需要对他进行多方面考虑。
校验码实现
weixin_34392435的博客
05-15 132
多学一招:如果一个网站中既有图片又有文本,那么请问需要使用什么流? Repsonse不可能同时获取字节流和字符流,对于以上的问题是由于HTTP通信原理没有掌握清楚才导致。浏览器发送请求处理的一定是页面,但是页面中的图片表现的形式不是字节流的方式而是&lt;img serc=”url”/&gt;直接发送给浏览器即可,浏览器会检索该src指定的路径继续发送请求以字节流的方式获取图片。 校验码的实现...
PHP表单与HTTP验证实战教程
"PHP基于表单密码验证HTTP验证的用法" ... ...例如,可以使用`$_POST['username']`和`...基于表单的验证提供更大的灵活性,适合定制化的用户体验,而HTTP验证则提供了一种简单且相对安全的方式来保护整个站点或特定资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值