HTTP 常见鉴权

最新推荐文章于 2025-07-03 10:09:57 发布
最新推荐文章于 2025-07-03 10:09:57 发布
阅读量979 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: http https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xym352860763/article/details/131384419

HTTP 常见鉴权
一、Basic Auth
a

Basic Auth 使用 Base64 摘要算法生成密文

格式为 ​​用户名:密码​​ ,用户名密码以​​:​​分割

例如:​​admin:123456​​

伪代码如下:

value = "admin:123456"
encodedValue = base64(value)
AuthData = "Basice " + encodedValue 


可以使用工具在线计算

​ ​https://base64.us/​​

​​"admin:123456"​​ 计算得对应编码为 ​​YWRtaW46MTIzNDU2​​

填充 HTTP 请求的报文头

GET /LAPI/V1.0/PeopleLibraries/BasicInfo HTTP/1.1
Host: 192.168.1.100
Authorization: Basic YWRtaW46MTIzNDU2


 

Basic Auth 的安全性只能保护用户名密码不被明文读取到,但编码后是固定值,所以只要捕获到该鉴权值,就相当于鉴权无效了。

改进方法就是在鉴权中增加临时值,保证该鉴权值动态变化。

二、Digest RFC 2069​
Digest MD5(RFC 2069) 对 Basic Auth 的改进

鉴权值计算如下:

Hash1=MD5(username:realm:password)
Hash2=MD5(method:uri)
response=MD5(Hash1:nonce:Hash2)


其中

​​method​​ 为 HTTP 请求方法 ​​GET/PUT/POST...​​

​​URI​​为请求的资源地址,即除去​​http://<host>​​部分

​​realm​​ 为固定值,用以标记用户身份,由服务端提供

​​nonce​​ 为随机值,由服务端提供

例如 ​​username=admin, password=123456, algorithm="MD5", nonce=5443494eb52c8658d88602d343810d35​​

ha1 = md5("admin:e4f14c15b4a5:123456")
ha2 = md5("GET:/LAPI/V1.0/PeopleLibraries/BasicInfo")
response = md5(ha1+":5443494eb52c8658d88602d343810d35:"+ha2)


注意一般计算值 ha1 ha2 response 需要转为小写 hex

填充 HTTP Header

GET /LAPI/V1.0/PeopleLibraries/BasicInfo HTTP/1.1
Host: 192.168.1.100
Authorization: Digest username="admin", realm="e4f14c15b4a5", nonce="5443494eb52c8658d88602d343810d35", uri="/LAPI/V1.0/PeopleLibraries/BasicInfo", algorithm="MD5", response="4e6ab960185269346884704a4c7458ce"


鉴权流程为

访问服务器资源,服务器返回 ​​401 Unauthorized​​,并携带 ​​nonce​​和鉴权加密算法
计算鉴权值,填充到 HTTP Header 中
再次访问服务器资源,鉴权成功,服务器返回 ​​200 Ok​​
点评:

RFC 2069 提供的鉴权方式,在一定程度上增加了安全性,将固定的鉴权值变为动态,并且将用户名密码计算部分隐藏起来,降低了被碰撞的可能性。

但是这样只能通过 ​​nonce​​ 保证服务器的动态变化,无法保证客户端的随机性

现在 2069 已被标记为 ​​out of date​​,取而代之的是 2617

三、Digest RFC 2617​
鉴权值计算如下:

Hash1=MD5(username:realm:password)
Hash2=MD5(method:URI)
response=MD5(Hash1:nonce:nonceCount:cnonce:qop:Hash2)


相比 2069,不同的在于增加了 ​​qop​​ ​​cnonce​​ ​​nonce-count​​

​​qop​​ 保护质量(quality of protection),可选值,由服务器提供,主要用来兼容 2069

​​cnonce​​ 客户端提供的字符串,用以双向认证;当有 ​​qop​​ 时必须携带,否则必须不携带

​​nonce-count​​ 客户端提供的访问请求数量(包括此次请求),采用16进制表示,用以校验请求是否重复;当有 ​​qop​​ 时必须携带,否则必须不携带

例如 ​​username=admin, password=123456, qop=auth, algorithm="MD5", nonce=5443494eb52c8658d88602d343810d35, cnonce=0aff113b, nc=00000001​​

ha1 = md5("admin:e4f14c15b4a5:123456")
ha2 = md5("GET:/LAPI/V1.0/PeopleLibraries/BasicInfo")
response = md5(ha1+":5443494eb52c8658d88602d343810d35"+":00000001"+":0aff113b"+":auth"+ha2)


 


注意一般计算值 ha1 ha2 response 需要转为小写 hex

填充 HTTP Header

GET /LAPI/V1.0/PeopleLibraries/BasicInfo HTTP/1.1
Host: 192.168.1.100
Authorization: Digest username="admin", realm="e4f14c15b4a5", nonce="5443494eb52c8658d88602d343810d35", uri="/LAPI/V1.0/PeopleLibraries/BasicInfo", algorithm="MD5", qop=auth, nc=00000001, cnonce="0aff113b", response="0ecd5b6626ec7214437a87e1f1a5cfdc"


 


注意,存在客户端有 ​​qop​​ 但是 ​​cnonce​​ ​​nonce-count​​ 为空的情况,计算规则可以视为空字符串,具体如下

ha1 = md5("admin:e4f14c15b4a5:123456")
ha2 = md5("GET:/LAPI/V1.0/PeopleLibraries/BasicInfo")
response = md5(ha1+":5443494eb52c8658d88602d343810d35:::auth"+ha2)


 


填充 HTTP Header

GET /LAPI/V1.0/PeopleLibraries/BasicInfo HTTP/1.1
Host: 192.168.1.100
Authorization: Digest username="admin", realm="e4f14c15b4a5", nonce="5443494eb52c8658d88602d343810d35", uri="/LAPI/V1.0/PeopleLibraries/BasicInfo", algorithm="MD5", qop=auth, response="0ecd5b6626ec7214437a87e1f1a5cfdc"


鉴权流程为

1.访问服务器资源,服务器返回 ​​401 Unauthorized​​,并携带 ​​nonce​​ ​​qop​​ 和鉴权加密算法;

2.计算鉴权值,填充到 HTTP Header 中;

3.再次访问服务器资源,鉴权成功,服务器返回 ​​200 Ok​​

小 雷 子
关注
接口、http协议与授
03-22 5357
文章目录接口分类软件接口分类:常见的接口协议什么是接口测试?客户端是如何向服务器发送请求?HTTP协议解读1、HTTP请求的过程:2、HTTP请求信息3、HTTP响应信息4、HTTP响应状态码5、HTTP请求方法、授1、Cookies 和 sessioncookieSession2、token 接口分类 硬件接口:指的是两个硬件设备之间的连接方式(比如:鼠标和电脑通过USB接口进行连 接...
Http Digest
06-21
“摘要”式认证( Digest authentication)是一个简单的认证机制,最初是为HTTP协议开发的,因而也常叫做HTTP摘要,在RFC2671中描述。其身份验证机制很简单,它采用杂凑式(hash)加密方法,以避免用明文传输用户的口令。 摘要认证就是要核实,参与通信的双方,都知道双方共享的一个秘密(即口令)。
http认证
04-03
http认证http认证http认证http认证http认证http认证http认证
Digest authentication
02-21 346
“摘要”式认证( Digest authentication)是一个简单的认证机制,最初是为HTTP协议开发的,因而也常叫做HTTP摘要,在RFC2671中描述。其身份验证机制 很简单,它采用杂凑式(hash)加密方法,以避免用明文传输用户的口令。 摘要认证就是要核实,参与通信的双方,都知道双方共享的一个秘密(即口令)。 当服务器想要查证用户的身份,它产生一个摘要盘问(digest cha
http接口的几种方式
最新发布
刘皇叔说Java的博客
07-03 1069
方式是否推荐生产安全性适用场景说明简述❌ 一般不推荐低简单测试、内部接口用户名 + 密码 base64 编码⚠️ 一般中登录接口,轻量系统登录生成 Token,Header 传递✅ 推荐高分布式、移动端、微服务接口无状态令牌,可携带限和过期信息4. OAuth2✅ 推荐高第三方接入、SaaS、多系统统一登录标准协议,支持授码、客户端模式5. HMAC / 签名✅ 推荐高API 网关、开放平台接口签名验真,防止参数篡改。
详解 http
LynnWonder
09-21 4660
http 方式详解
限——http方式
BruceBupt的博客
07-15 3804
常用的http方式有以下四种 http basic authentication session-cookie 使用token进行签名的 OAuth(开发授) 一、http basic authentication 浏览器把用户名和密码进行base64加密后,放在请求头中,由服务器进行解密和验证。验证通过后发送请求的资源。浏览器的每次请求都会携带加密后的用户名和密码,服务器每次收到请求后都会解密和验证。由于base64加密方式可逆,所以安全性不高。 二、session-cookie
http通信(一)概括
w_t_y_y的博客
03-12 481
浏览器请求时先在服务器创建session,服务器保存session并为每个session生成唯一标志字符串即session id(sid),将sid放在响应头中返回给浏览器。浏览器将sid存储在cookie中,以后每次请求都带着sid,服务器解析请求获取sid,根据sid看能否找到对应的session,如果找到说明请求合法。浏览器的每次请求都会携带加密后的用户名和密码,服务器每次收到请求后都会解密和验证。客户端先用用户名和密码登录登录,服务器验证用户名和密码通过后,给客户端发送一个token。
前端安全认证授机制详解:常见方式及其应用场景分析出地介绍了前端
06-08
内容概要:本文详细介绍了前端的关键概念及其常见实现方式。首先解释了认证、授限控制的区别与联系,明确了它们在信息安全中的角色。接着分别阐述了HTTP基本、Session-Cookie、Token验证...
java http(spring boot 工程)
08-30
常见HTTP机制有基本认证(Basic Authentication)、摘要认证(Digest Authentication)以及OAuth2等。 在Spring Boot中,我们可以利用Spring Security来处理HTTP。Spring Security是一个功能强大的安全...
自己写的一个HttpDemo
03-22
NULL 博文链接:https://smalltalllong.iteye.com/blog/922391
http通信(二)自定义加密
w_t_y_y的博客
05-26 8271
防止数据泄露和网络攻击,接口一般是需要控制访问的。如前后端分离项目中,前端带入token等方式。如果接口提供给第三方调用且无需登陆,则需要给该接口加白名单,但是这样会造成安全问题,我们可以约定参数进行采用固定参数同样存在安全问题,容易被抓包获取到。可以带入动态的时间戳来
HTTP的无_基本和摘要
suamt的专栏
05-09 7831
一 无方式 就是正确的客户端请求发到服务器后,HTTP服务器返回200状态码并且把内容直接返回。 报文示例: 请求: GET.http://10.127.194.3:8061/VoiceObjects..... 返回: HTTP/1.1.200.OK..Date:.Fri,.28.Oct.20.....   二 基本方式 基本和摘要方式都是基于一种叫challen
http-Authorization http
报喜鸟
12-05 700
curl -u "root:open" 'http://10.10.160.254:8888/stats;csv;norefresh' wget 'http://10.10.160.254:8888/stats;csv;norefresh' --http-user=root --http-password=open http://zh.wikipedia.org/wiki/HTTP...
SpringBoot整合Spring Security,使用HttpBasic方式进行(一)
baikunlong的博客
09-21 647
一、创建项目并导入相关基础依赖 二、创建几个页面与yml 页面分别是两个业务页面,两个管理页面,一个首页,几个页面随便写内容,建议首页放上几个页面的链接方便跳转,比如: <!DOCTYPE html> <html> <head lang="en"> <meta charset="UTF-8" /> <title>字母哥业务管理系统</title> </head> <body> &l
HTTP 摘要认证
心愿许得无限大
04-06 1764
讲解 HTTP 摘要认证,并提供相关的例子
http协议之digest(摘要)认证,详细讲解并附Java SpringBoot源码
一火的专栏
12-04 7706
http协议之digest(摘要)认证,详细讲解并附Java SpringBoot源码
Spring Boot全网首个java http完整实践
常见HTTP方式包括基本Basic Authentication)和摘要(Digest Authentication)。 #### 1.1 基本 基本是最早被提出和广泛使用的一种方式。它简单直接,通过在HTTP头中添加一个基础的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值