基本认证机制

Posted 2022-11-09 空方块

1.认证

1.1.HTTP的质询/响应认证框架

1.2.认证协议与首部

1.3.安全域

HTTP允许不同的资源使用不同的访问权限的。

2.基本认证

基本认证是最流行的HTTP认证协议。

Web服务器拒绝一个事务，质询客户端，请用户提供有效的用户名和密码，服务器会返回401状态码，而不是200状态码来初始化认证质询，并用WWW-Authenticate响应首部制定要访问的安全与。

2.1.Base-64用户名/密码编码

HTTP基本认证将用户名和密码打包在一起，并用Base-64编码的方式对其进行编码。

#Base-64字母表

例子："Ow!"base-64编码值为"T3ch"。

流程：

若字节序列长度不为24的倍数

01xxxx会被当作010000；

若6位都x，就用"="来表示。

2.2.代理认证

中间代理服务器也可以实现认证功能。

与Web服务器身份认证的步骤相同，但首部和状态码都有所不同。

3.基本认证的安全缺陷

#1：通过网络发送用户名和密码，用户名和密码都是以很容易解码的形式表示。如base-64容易解码:；

#2：若使用更难解码的方式加密，第三方用户仍可以补货被修改过的用户名和密码，并将修改过的用户名和密码重放给原始服务器；

#3：即使是不太重要的应用程序，用户一般不会使用大量不一样的密码，会发现该用户在其他网络的信息。