安全驗證之使用摘要認證(digest authentication)

在前一篇文章中，主要討論了使用HTTP基本認證的方法，因為HTTP基本認證的方式決定了它在安全性方面存在很大的問題，所以接下來看看另一種驗證的方式：digest authentication，即摘要認證。

系列文章列表

在基本認證的方式中，主要的安全問題來自於用戶信息的明文傳輸，而在摘要認證中，主要通過一些手段避免了此問題，大大增加了安全性。

下圖為摘要驗證的驗證原理流程圖。

下面大致看一下這部分的驗證流程：

客戶端請求 /api/employees；
服務端返回401未驗證的狀態，並且在返回的信息中包含了驗證方式Digest，realm的值，QOP(quality of protection)只設置成auth，nonce為一串隨機值，在下面的請求中會一直使用到，當過了存活期后服務端將刷新生成一個新的nonce值；
客戶端接受到請求返回后，將username:realm:password進行HASH運算，假設運算后的值為HA1。又將請求的路徑/api/employees進行HASH運算，假設運算后的值為HA2。再將HA1:nonce:nc:cnonce:qop:HA2進行HASH運算，得到的值放在response中。這里的cnonce為客戶端生成的nonce值，而nc用於統計，假設開始時為00000001，下次請求后就變成了00000002，不一定每次都加1，但是后面請求中的nc值肯定大於前一次請求中的nc值。
服務端收到請求后將驗證nonce是否過期，如果過期，那么直接返回401，即第二步的狀態。如果沒有過期，那么比較nc值，如果比前一次nc值小或者前一次根本沒有存儲的nc值，那么也將直接返回401狀態。如果前面的驗證都通過，那么服務端也將按照步驟3中計算最終HASH值的步驟計算出HASH值與客戶端的進行比較，然后比較客戶端提交過來的HASH值與服務端計算出來的HASH進行比較，不匹配返回401，匹配獲取請求的數據並返回狀態200。

摘要驗證主要就是通過上面的HASH比較的步驟避免掉了基本驗證中的安全性問題。

需要注意的是，如果需要IIS支持摘要驗證，需要把IIS摘要驗證的特性勾上。