libcurl第五課 Digest Authentication摘要驗證使用

場景
         在安迅士攝像機網頁上，配置系統選項，HTTP/RTSP Password Settings 中， 選擇Encrypted only。獲取設備的雲臺狀態信息，使用的是摘要認證

例子
void CAnXunShiConn::TestlibCurlHTTPDegistAuth()
{
 CURL *pCurlHandle = curl_easy_init();
 curl_easy_setopt(pCurlHandle, CURLOPT_CUSTOMREQUEST, "GET");
 curl_easy_setopt(pCurlHandle, CURLOPT_URL, "http://192.168.18.84/axis-cgi/com/ptz.cgi?camera=1&query=position");
 curl_easy_setopt(pCurlHandle, CURLOPT_USERPWD, "root:admin12345");
 curl_easy_setopt(pCurlHandle, CURLOPT_HTTPAUTH, CURLAUTH_DIGEST);
 curl_easy_setopt(pCurlHandle, CURLOPT_WRITEFUNCTION, WriteResponseBody);//設置回調函數                  
//curl_easy_setopt(pCurlHandle, CURLOPT_HEADER, 1);//保存HTTP頭部信息到strResponseData
 curl_easy_setopt(pCurlHandle, CURLOPT_WRITEDATA, &strResponseData);//設置回調函數的參數,獲取反饋信息
 curl_easy_setopt(pCurlHandle, CURLOPT_TIMEOUT, 15);//接收數據時超時設置，若是10秒內數據未接收完，直接退出
 curl_easy_setopt(pCurlHandle, CURLOPT_MAXREDIRS, 1);//查找次數，防止查找太深
 curl_easy_setopt(pCurlHandle, CURLOPT_CONNECTTIMEOUT, 5);//鏈接超時，這個數值若是設置過短可能致使數據請求不到就斷開了
 CURLcode nRet = curl_easy_perform(pCurlHandle);
 if (0 == nRet)
 {
  std::cout << strResponseData << std::endl;
 }
 curl_easy_cleanup(pCurlHandle);
}

基礎知識
◆ 摘要認證 digest authentication　　　←　HTTP1.1提出的基本認證的替代方法
    服務器端以nonce進行質詢，客戶端以用戶名，密碼，nonce，HTTP方法，請求的URI等信息爲基礎產生的response信息進行認證的方式。
    ※　不包含密碼的明文傳遞
   
    摘要認證步驟：
     1. 客戶端訪問一個受http摘要認證保護的資源。
     2. 服務器返回401狀態以及nonce等信息，要求客戶端進行認證。
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Digest
realm="testrealm@host.com",
qop="auth,auth-int",
nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
opaque="5ccc069c403ebaf9f0171e9517f40e41"
     3. 客戶端將以用戶名，密碼，nonce值，HTTP方法, 和被請求的URI爲校驗值基礎而加密（默認爲MD5算法）的摘要信息返回給服務器。
           認證必須的五個情報：
　　　　　・ realm ： 響應中包含信息
　　　　　・ nonce ： 響應中包含信息
　　　　　・ username ： 用戶名
　　　　　・ digest-uri ： 請求的URI
　　　　　・ response ： 以上面四個信息加上密碼信息，使用MD5算法得出的字符串。
Authorization: Digest
username="Mufasa",　 ←　客戶端已知信息
realm="testrealm@host.com", 　 ←　服務器端質詢響應信息
nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", 　←　服務器端質詢響應信息
uri="/dir/index.html", ←　客戶端已知信息
qop=auth, 　 ←　服務器端質詢響應信息
nc=00000001, ←　客戶端計算出的信息
cnonce="0a4f113b", ←　客戶端計算出的客戶端nonce
response="6629fae49393a05397450978507c4ef1", ←　最終的摘要信息 ha3
opaque="5ccc069c403ebaf9f0171e9517f40e41"　 ←　服務器端質詢響應信息
     4. 若是認證成功，則返回相應的資源。若是認證失敗，則仍返回401狀態，要求從新進行認證。

    特記事項：
     1. 避免將密碼做爲明文在網絡上傳遞，相對提升了HTTP認證的安全性。
     2. 當用戶爲某個realm首次設置密碼時，服務器保存的是以用戶名，realm，密碼爲基礎計算出的哈希值（ha1），而非密碼自己。
     3. 若是qop=auth-int，在計算ha2時，除了包括HTTP方法，URI路徑外，還包括請求實體主體，從而防止PUT和POST請求表示被人篡改。
     4. 可是由於nonce自己能夠被用來進行摘要認證，因此也沒法確保認證後傳遞過來的數據的安全性。

   ※　nonce：隨機字符串，每次返回401響應的時候都會返回一個不一樣的nonce。
   ※　nounce：隨機字符串，每一個請求都獲得一個不一樣的nounce。
      ※　MD5(Message Digest algorithm 5，信息摘要算法)
         ① 用戶名:realm:密碼　⇒　ha1
         ② HTTP方法:URI　⇒　ha2
         ③ ha1:nonce:nc:cnonce:qop:ha2　⇒　ha3
 WSSE(WS-Security)認證　　←　擴展HTTP認證
   WSSE UsernameToken
    服務器端以nonce進行質詢，客戶端以用戶名，密碼，nonce，HTTP方法，請求的URI等信息爲基礎產生的response信息進行認證的方式。
    ※　不包含密碼的明文傳遞
   
    WSSE認證步驟：
     1. 客戶端訪問一個受WSSE認證保護的資源。
     2. 服務器返回401狀態，要求客戶端進行認證。
HTTP/1.1 401 Unauthorized
WWW-Authenticate: WSSE
realm="testrealm@host.com",
profile="UsernameToken" ←　服務器指望你用UsernameToken規則生成迴應
※　UsernameToken規則：客戶端生成一個nonce，而後根據該nonce，密碼和當前日時來算出哈希值。
     3. 客戶端將生成一個nonce值，並以該nonce值，密碼，當前日時爲基礎，算出哈希值返回給服務器。
Authorization: WSSE profile="UsernameToken"
X-WSSE:UsernameToken
username="Mufasa",
PasswordDigest="Z2Y......",
Nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
Created="2010-01-01T09:00:00Z"
     4. 若是認證成功，則返回相應的資源。若是認證失敗，則仍返回401狀態，要求從新進行認證。
 特記事項：
     1. 避免將密碼做爲明文在網絡上傳遞。
     2. 不須要在服務器端做設置。
     3. 服務器端必須保存密碼自己，不然沒法進行身份驗證。