小话HTTP Authentication

最新推荐文章于 2025-03-08 19:04:53 发布
置顶 最新推荐文章于 2025-03-08 19:04:53 发布
阅读量2.7w 收藏 23
点赞数 8
分类专栏: http security 文章标签: http authentication HTTP basic HTTP digest replay attack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kiwi_coder/article/details/28677651
版权
本文介绍了HTTP的Authentication概念,区分了Authentication和Authorization的区别。接着详细讲解了HTTP Basic Authentication的工作原理及其安全性问题,指出Base64编码可被轻易解密。接着讨论了Replay Attack及其危害,并引入了HTTP Digest Authentication作为解决方案,描述了Digest Authentication如何利用随机nonce值防止重播攻击。最后提到了Digest Authentication的安全性虽提升,但仍存在中间人攻击的风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是Authentication?

首先解释两个长的很像、容易混淆的单词,Authentication(鉴定、认证)Authorization(授权)

Authentication就是要证明你是谁。举个例子,你告诉别人你的名字叫Alice,怎么样让别人确信你就是Alice,这就是Authentication。

Authorization则是当别人已经相信是你以后,你是不是被允不允许做做某件事儿。比如,当你已经证明了你就是Alice了,你可以查你自己的信用卡刷卡记录,但不能查Bob的刷卡记录,这就是Authorization(当然,如果Alice是Bob的老婆这种情况除外)。


这篇博客就主要看看HTTP Authentication到底是怎么回事。然后两种常见的Authentication机制:HTTP Basic和Digest。


HTTP Basic

顾名思义,HTTP Basic指的就是最简单的Authentication协议。简单到什么份儿上呢?直接方式告诉服务器你的用户名(username)和密码(password)。这里假设我们的用户名是Alice,密码是123456。


我们使用curl访问服务器

   curl -u Alice:123456 http://kiwiserver.com/secret -v


request头部:

 GET /secret HTTP/1.1
 Authorization: Basic QWxpY2U6MTIz

最低0.47元/天 解锁文章
HTTP Digest Access Authentication Schema
又言又语
05-29 1500
通过网络传输未加密的用户ID和密码。HTTP DigestHTTP Basic 一样,基于认证机制实现身份认证方案,不同之处在于,HTTP Digest 不会直接发送明文密码,而是采用checksum检验方式对请求进行验证。HTTP Digest Access Authentication 中的challenge使用一个nonce值,一个有效的response包含的checksum由用户ID密码nonceHTTP请求方法和HTTP请求URI通过算法生成(默认MD5。
HTTP Basic Access Authentication Schema
又言又语
05-29 1178
HTTP Basic Access Authentication Schema,HTTP 基本访问认证模式,是 HTTP 1.0 引入的一种 基于认证机制的身份认证方案。:当客户端首次访问受保护资源时,服务器会向客户端发送一个challenge,客户端根据challenge信息做出对应的response。HTTP Basic Access Authentication 基于以下模型:客户端必须使用每个域(realm)对应的用户ID和密码进行认证。user ID(用户ID)、password(密码)、
HTTP AuthenticationHTTP认证)
张花生的博客
09-20 1万+
HTTP协议规范中有两种认证方式,一种是Basic认证,另外一种是Digest认证,这两种方式都属于无状态认证方式,所谓无状态即服务端都不会在会中记录相关信息,客户端每次访问都需要将用户名和密码放置报文一同发送给服务端,但这并不表示你在浏览器中每次访问都要自己输入用户名和密码,可能是你第一次输入账号后浏览器就保留在内存中供后面的交互使用。 BASIC基本认证 概述 ...
HTTP 账号密码验证
qq_25600055的专栏
05-28 6517
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Authentication通用的 HTTP 认证框架RFC 7235 定义了一个 HTTP 身份验证框架,服务器可以用来针对客户端的请求发送 challenge(质询信息),客户端则可以用来提供身份验证凭证。质询与应答的工作流程如下:服务器端向客户端返回 401(Unauthorized,未被授权...
关于 Basic Auth curl 请求
最新发布
托塔天王的博客
03-08 330
【代码】关于 Basic Auth curl 请求。
HTTP Authentication
menglongbor的专栏
02-10 2101
https://www3.ntu.edu.sg/home/ehchua/programming/webprogramming/HTTP_Authentication.html Authentication, Authorization and Access Control Authentication is the process of verifying "someone i
小言HTTP Authentication
weixin_30929195的博客
08-15 205
什么是Authentication? 首先解释两个长的非常像、easy混淆的单词,Authentication(鉴定、认证)和Authorization(授权)。 Authentication就是要证明你是谁。举个样例。你告诉别人你的名字叫Alice,怎么样让别人确信你就是Alice,这就是Authentication。 Authorization则是当别人已经相信是你以后。你是不是...
Http Authentication
weixin_34318272的博客
03-05 142
1. 基本认证: 首先转一下 小坦克写的http基本认证的流程,写的非常好,我就不再多啰嗦了 转自 http://www.cnblogs.com/TankXiao/archive/2012/09/26/2695955.html 什么是HTTP基本认证 桌面应用程序也通过HTTP协议跟Web服务器交互, 桌面应用程序一般不会使用cookie, 而是把 "用户名+冒号+密码"用BASE...
使用HTTP Authentication技术,使打开网页会弹出一个登录验证的对框.zip
01-08
使用HTTP Authentication技术,使打开网页会弹出一个登录验证的对框.zip
authentication
03-17
例如,`net/http`库可以用于构建基础的HTTP服务器,处理HTTP请求,而`context`包可以帮助我们管理请求上下文中的认证信息。 对于基于用户名和密码的认证,开发者通常会创建一个验证函数,检查输入的凭证是否与存储...
HTTP Authentication(客户端请求合法性认证)
JavaBuilt的博客
03-09 5781
HTTP Authentication(客户端请求合法性认证) 最近公司项目架构设计时,需要考虑安全性问题。本章是关于 客户端请求合法性认证 的相关题。HTTP Authentication 请求认证客户端发送请求时需认证此信息作用:防止其他方式请求资源,保护资源不被窃取方式一:Basic Authentication    当客户端发送请求时,服务器会进行认证1.    用户发送请求给服务器2...
HTTP基本认证(Basic Authentication)
热门推荐
一个写了10年bug的程序员日常笔记。
11-30 3万+
在浏览网页时候,浏览器会弹出一个登录验证的对框,如下图,这就是使用HTTP基本认证。 1、 客户端发送http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的, 服务器会返回一个401 Unauthozied给客户端,并且在Response 的 header “WWW-Authenticate” 中添加信息。 如下图。2、:浏览器在接受到401 Unautho
HTTP Authentication之Bearer认证
zyooooxie的博客
02-12 1万+
Bearer Access Authentication: 使用Postman、requests、JMeter来操作
The request you have made requires authentication. (HTTP 401)
qq_46906413的博客
12-02 1万+
报错;The request you have made requires authentication. (HTTP 401) (Request-ID: req-0360519c-92bb-4f85-9815-771b2721803f) openssl rand -hex 10 生成密钥令牌:265ddc8e5225595f8283 vim /etc/keystone/keystone.conf [DEFAULT] admin_token = xxxxxx #输入你上面获得的令牌
HTTPBASIC认证的请求和响应报文
netyeaxi的专栏
01-16 977
HTTP BASIC认证的请求和响应报文的例子
HTTP AuthenticationBasic认证、Digest认证
zyooooxie的博客
11-14 3443
Basic and Digest Access Authentication: 使用Postman、requests、JMeter来操作
WEB开发-HTTP认证
深度安全实验室
07-21 496
WEB开发-HTTP认证
认证 (authentication) 和授权 (authorization) 的区别
weixin_64051447的博客
04-10 2744
虽然这两个术语经常相互结合使用,但它们的概念和含义完全不同。虽然这两个概念对于Web服务基础结构至关重要,特别是在授予对系统的访问权限时,理解关于安全性的每个术语是关键。虽然我们大多数人将一个术语与另一个术语混淆,但理解它们之间的关键区别很重要,实际上非常简单。如果身份验证是您的身份,则授权是您可以访问和修改的权限。简单来说,身份验证就是确定某人是否是他声称的人。另一方面,授权是确定他访问资源的权利。
Authentication failed for 解决办法
MJ_LB的博客
05-28 2万+
很多小伙伴第一次克隆远程仓库到本地可能会遇到这个问题 大家看这个报错 --> Authentication failed for,原因是当你第一次克隆时候会让你输入账号和密码, 所谓账号和密码就是在gitte上注册的账号和密码,如果第一次输入错误,是不会有报错的。 ​​​​​​​​​​​​​​​​​​​​​​​​​​​​ 先找到Windows凭据 ​​​​​...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值