Http Basic认证

Posted 2021-04-26 码农小麦

Basic基本认证是从HTTP/1.0定义的认证方式，就是在http请求头部添加Authorization字段，传值: Basic + base64编码的(用户名:密码)。

basic认证的基本步骤：
1.正常发起请求，当请求的资源需要基本认证时，服务端会返回带WWW-Authenticate头部响应，状态码401，告知客户端需要Basic认证。

HTTP/1.1 401 \r\n
WWW-Authenticate: Basic realm="Realm"\r\n

2.客户端将用户名和密码以base64编码后发送至服务端，用户名密码以分号拼接，然后以base64编码，传入头部Authorization字段。

Basic c3RhcjpzdGFyNTI0OA==

3.收到包含Authorization头部字段请求后，进行验证，验证通过将会返回包含Request URI资源的响应，验证失败返回401状态。

基本认证使用base64编码，并不算加密，而传输的又是用户id和密码敏感信息，所以如果通信过程被窃听，很容易被盗号。使用Wireshark抓包工具都可以看到明文的Credentials，因为不需要任何附加信息即可解码。

此外Basic只有认证操作，并无注销操作，且安全级别达不到大多数网站安全级别，使用较少。