http摘要認證

時間 2019-11-12

標籤 http 摘要認證欄目 HTTP/TCP 简体版

原文原文鏈接

摘要認證步驟：

1. 客戶端訪問一個受http摘要認證保護的資源。

2. 服務器返回401狀態以及nonce等信息，要求客戶端進行認證。

HTTP/1.1 401 Unauthorized

WWW-Authenticate: Digest

realm="testrealm@host.com",

qop="auth,auth-int",

nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",

opaque="5ccc069c403ebaf9f0171e9517f40e41"

3. 客戶端將以用戶名，密碼，nonce值，HTTP方法, 和被請求的URI爲校驗值基礎而加密（默認爲MD5算法）的摘要信息返回給服務器。

認證必須的五個情報：

　　　　　・ realm ：響應中包含信息

　　　　　・ nonce ：響應中包含信息

　　　　　・ username ：用戶名

　　　　　・ digest-uri ：請求的URI

　　　　　・ response ：以上面四個信息加上密碼信息，使用MD5算法得出的字符串。

Authorization: Digest

username="Mufasa",　←　客戶端已知信息

realm="testrealm@host.com", 　 ←　服務器端質詢響應信息

nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", 　←　服務器端質詢響應信息

uri="/dir/index.html", ←　客戶端已知信息

qop=auth, 　 ←　服務器端質詢響應信息

nc=00000001, ←　客戶端計算出的信息(請求計數器)

cnonce="0a4f113b", ←　客戶端計算出的客戶端nonce

response="6629fae49393a05397450978507c4ef1", ←　最終的摘要信息 ha3

opaque="5ccc069c403ebaf9f0171e9517f40e41"　 ←　服務器端質詢響應信息

4. 若是認證成功，則返回相應的資源。若是認證失敗，則仍返回401狀態，要求從新進行認證。

特記事項：

1. 避免將密碼做爲明文在網絡上傳遞，相對提升了HTTP認證的安全性。

2. 當用戶爲某個realm首次設置密碼時，服務器保存的是以用戶名，realm，密碼爲基礎計算出的哈希值（ha1），而非密碼自己。

3. 若是qop=auth-int，在計算ha2時，除了包括HTTP方法，URI路徑外，還包括請求實體主體，從而防止PUT和POST請求表示被人篡改。

4. 可是由於nonce自己能夠被用來進行摘要認證，因此也沒法確保認證後傳遞過來的數據的安全性。

※　nonce：隨機字符串，每次返回401響應的時候都會返回一個不一樣的nonce。

※　nounce：隨機字符串，每一個請求都獲得一個不一樣的nounce。

※　MD5(Message Digest algorithm 5，信息摘要算法)

① 用戶名:realm:密碼　⇒　ha1

② HTTP方法:URI　⇒　ha2

③ ha1:nonce:nc:cnonce:qop:ha2　⇒　ha3

---------------------------------------

補充參數說明：

客戶端在後續提交請求時，
重複用服務器密碼隨機數(nonce)
每次產生新的客戶端密碼隨機數(cnonce)
計數器(nc)++ (請求計數器每次都增長1)
而後依保護質量(qop)類型，肯定response 值

服務端收到後，依qop類型，用一樣的算法，算出值與客戶端帶過來的response值對比。

nonce過時處理:
當服務端密碼隨機數nonce過時時,
返回 401,並在認證頭中添加stale=TRUE

// ":"做爲各個參數的分割符
HA1 : md5("username:realm:pwd")
HA2 : md5("GET:/xx/xx/index.html")

qop:爲"auth"或"auth-int"
Response = md5("HA1:nonce:nc:cnonce:qop:HA2")
qop:未指定
Response = md5("HA1:nonce:HA2")
--------------------

參考資料

http://blog.csdn.net/jesse881025/article/details/43669625

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。