(chap8 确认访问用户身份的认证) BASIC认证（基本认证）

Posted 2021-06-08 thefist11

1. BASIC认证是Web服务器与同喜客户端之间进行的认证方式。

2. 步骤

step1. 当请求的资源需要BASIC认证时，服务器会随状态码401Authorization Required，返回带 www-Authenticate首部字段的响应。该字段内包含认证的方式( BASIC）及Request-URI安全域字符串（realm )。

step2. 接收到状态码401的客户端为了通过BASIC 认证，需要将用户ID及密码发送给服务器。发送的字符串内容是由用户ID和密码构成，两者中间以冒号(:)连接后，再经过Base64编码处理。假设用户ID为guest，密码是guest，连接起来就会形成guest:guest这样的字符串。然后经过Base64编码，最后的结果即是Z3Vlc3Q6Z3Vlc3Q=。把这串字符串写入首部字段Authorization后，发送请求。

当用户代理为浏览器时，用户仅需输入用户ID和密码即可，之后，浏览器会自动完成到Base64编码的转换工作。

step3. 接收到包含首部字段Authorization请求的服务器，会对认证信息的正确性进行验证。如验证通过，则返回一条包含Request-URI资源的响应。

3. 特点

• BASIC认证虽然采用Base64编码方式，但这不是加密处理。不需要任何附加信息即可对其解码。换言之，由于明文解码后就是用户ID和密码，在HTTP等非加密通信的线路上进行BASIC认证的过程中，

• 如果被人窃听，被盗的可能性极高。

• 除此之外想再进行一次BASIC认证时，一般的浏览器却无法实现认证注销操作，这也是问题之一。

• BASIC认证使用上不够便捷灵活,且达不到多数Web 网站期望的安全性等级，因此它并不常用。