http摘要認證

摘要認證步驟:
     1. 客戶端訪問一個受http摘要認證保護的資源。
     2. 服務器返回401狀態以及nonce等信息,要求客戶端進行認證。
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Digest
realm="testrealm@host.com",
qop="auth,auth-int",
nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
opaque="5ccc069c403ebaf9f0171e9517f40e41"
     3. 客戶端將以用戶名,密碼,nonce值,HTTP方法, 和被請求的URI爲校驗值基礎而加密(默認爲MD5算法)的摘要信息返回給服務器。
           認證必須的五個情報:
     ・ realm : 響應中包含信息
     ・ nonce : 響應中包含信息
     ・ username : 用戶名
     ・ digest-uri : 請求的URI
     ・ response : 以上面四個信息加上密碼信息,使用MD5算法得出的字符串。

Authorization: Digest 
username="Mufasa", ← 客戶端已知信息
realm="testrealm@host.com",   ← 服務器端質詢響應信息
nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",  ← 服務器端質詢響應信息
uri="/dir/index.html", ← 客戶端已知信息
qop=auth,   ← 服務器端質詢響應信息
nc=00000001, ← 客戶端計算出的信息(請求計數器)
cnonce="0a4f113b", ← 客戶端計算出的客戶端nonce
response="6629fae49393a05397450978507c4ef1", ← 最終的摘要信息 ha3
opaque="5ccc069c403ebaf9f0171e9517f40e41"  ← 服務器端質詢響應信息
     4. 若是認證成功,則返回相應的資源。若是認證失敗,則仍返回401狀態,要求從新進行認證。
 
     特記事項:
     1. 避免將密碼做爲明文在網絡上傳遞,相對提升了HTTP認證的安全性。
     2. 當用戶爲某個realm首次設置密碼時,服務器保存的是以用戶名,realm,密碼爲基礎計算出的哈希值(ha1),而非密碼自己。
     3. 若是qop=auth-int,在計算ha2時,除了包括HTTP方法,URI路徑外,還包括請求實體主體,從而防止PUT和POST請求表示被人篡改。
     4. 可是由於nonce自己能夠被用來進行摘要認證,因此也沒法確保認證後傳遞過來的數據的安全性。
 
   ※ nonce:隨機字符串,每次返回401響應的時候都會返回一個不一樣的nonce。 
   ※ nounce:隨機字符串,每一個請求都獲得一個不一樣的nounce。 
      ※ MD5(Message Digest algorithm 5,信息摘要算法)
         ① 用戶名:realm:密碼 ⇒ ha1
         ② HTTP方法:URI ⇒ ha2
         ③ ha1:nonce:nc:cnonce:qop:ha2 ⇒ ha3
 
---------------------------------------
補充參數說明:
 
客戶端在後續提交請求時,
   重複用服務器密碼隨機數(nonce)
   每次產生新的客戶端密碼隨機數(cnonce)
   計數器(nc)++   (請求計數器每次都增長1)
而後依 保護質量(qop)類型,肯定response 值

服務端收到後,依qop類型,用一樣的算法,算出值與客戶端帶過來的response值對比。

nonce過時處理:
當服務端密碼隨機數nonce過時時,
返回 401,並在認證頭中添加stale=TRUE

// ":"做爲各個參數的分割符
HA1 : md5("username:realm:pwd")
HA2 : md5("GET:/xx/xx/index.html")

qop:爲"auth"或"auth-int"
Response = md5("HA1:nonce:nc:cnonce:qop:HA2")
qop:未指定
Response = md5("HA1:nonce:HA2")
  --------------------
參考資料
http://blog.csdn.net/jesse881025/article/details/43669625
相關文章
相關標籤/搜索