基本认证机制

Posted 空方块

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了基本认证机制相关的知识,希望对你有一定的参考价值。

1.认证

1.1.HTTP的质询/响应认证框架


1.2.认证协议与首部




1.3.安全域

HTTP允许不同的资源使用不同的访问权限的。

2.基本认证

基本认证是最流行的HTTP认证协议。

Web服务器拒绝一个事务,质询客户端,请用户提供有效的用户名和密码,服务器会返回401状态码,而不是200状态码来初始化认证质询,并用WWW-Authenticate响应首部制定要访问的安全与。

2.1.Base-64用户名/密码编码

HTTP基本认证将用户名和密码打包在一起,并用Base-64编码的方式对其进行编码。


#Base-64字母表


例子:"Ow!"base-64编码值为"T3ch"。

流程:


若字节序列长度不为24的倍数


01xxxx会被当作010000;

若6位都x,就用"="来表示。

2.2.代理认证

中间代理服务器也可以实现认证功能。

与Web服务器身份认证的步骤相同,但首部和状态码都有所不同。


3.基本认证的安全缺陷

#1:通过网络发送用户名和密码,用户名和密码都是以很容易解码的形式表示。如base-64容易解码:;

#2:若使用更难解码的方式加密,第三方用户仍可以补货被修改过的用户名和密码,并将修改过的用户名和密码重放给原始服务器;

#3:即使是不太重要的应用程序,用户一般不会使用大量不一样的密码,会发现该用户在其他网络的信息。

以上是关于基本认证机制的主要内容,如果未能解决你的问题,请参考以下文章

简述HTTP协议报文首部缓存机制

PHP 模拟 HTTP 基本认证(Basic Authentication)

PHP首部认证

PHP首部认证

Http基本认证

(chap8 确认访问用户身份的认证) BASIC认证(基本认证)