http://blog.csdn.net/hotnet522/article/details/5824716
**********************************************
HTTP請求報頭: Authorization
HTTP響應報頭: WWW-Authenticate
HTTP認證
基於
質詢
/回應(
challenge/response)的認證模式。
◆ 基本認證 basic authentication
← HTTP1.0提出的認證方法
客戶端對於每一個realm,通過提供用戶名和密碼來進行認證的方式。
※ 包含密碼的明文傳遞
基本認證步驟:
1. 客戶端訪問一個受http基本認證保護的資源。
2. 服務器返回401狀態,要求客戶端提供用戶名和密碼進行認證。
401 Unauthorized
WWW-Authenticate: Basic realm="WallyWorld"
3. 客戶端將輸入的用戶名密碼用Base64進行編碼后,采用非加密的明文方式傳送給服務器。
Authorization: Basic xxxxxxxxxx.
4. 如果認證成功,則返回相應的資源。如果認證失敗,則仍返回401狀態,要求重新進行認證。
特記事項:
1. Http是無狀態的,同一個客戶端對同一個realm內資源的每一個訪問會被要求進行認證。
2. 客戶端通常會緩存用戶名和密碼,並和authentication realm一起保存,所以,一般不需要你重新輸入用戶名和密碼。
3. 以非加密的明文方式傳輸,雖然轉換成了不易被人直接識別的字符串,但是無法防止用戶名密碼被惡意盜用。
◆ 摘要認證 digest authentication
← HTTP1.1提出的基本認證的替代方法
服務器端以nonce進行質詢,客戶端以用戶名,密碼,nonce,HTTP方法,請求的URI等信息為基礎產生的response信息進行認證的方式。
※ 不包含密碼的明文傳遞
摘要認證步驟:
1. 客戶端訪問一個受http摘要認證保護的資源。
2. 服務器返回401狀態以及nonce等信息,要求客戶端進行認證。
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Digest
realm="testrealm@host.com",
qop="auth,auth-int",
nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
opaque="5ccc069c403ebaf9f0171e9517f40e41"
3. 客戶端將以用戶名,密碼,nonce值,HTTP方法, 和被請求的URI為校驗值基礎而加密(默認為MD5算法)的摘要信息返回給服務器。
認證必須的五個情報:
・ realm : 響應中包含信息
・ nonce : 響應中包含信息
・ username : 用戶名
・ digest-uri : 請求的URI
・ response : 以上面四個信息加上密碼信息,使用MD5算法得出的字符串。
Authorization: Digest
username="Mufasa", ← 客戶端已知信息
realm="testrealm@host.com", ← 服務器端質詢響應信息
nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", ← 服務器端質詢響應信息
uri="/dir/index.html", ← 客戶端已知信息
qop=auth, ← 服務器端質詢響應信息
nc=00000001, ← 客戶端計算出的信息
cnonce="0a4f113b", ← 客戶端計算出的客戶端nonce
response="6629fae49393a05397450978507c4ef1", ← 最終的摘要信息 ha3
opaque="5ccc069c403ebaf9f0171e9517f40e41" ← 服務器端質詢響應信息
4. 如果認證成功,則返回相應的資源。如果認證失敗,則仍返回401狀態,要求重新進行認證。
特記事項:
1. 避免將密碼作為明文在網絡上傳遞,相對提高了HTTP認證的安全性。
2. 當用戶為某個realm首次設置密碼時,服務器保存的是以用戶名,realm,密碼為基礎計算出的哈希值(ha1),而非密碼本身。
3. 如果qop=auth-int,在計算ha2時,除了包括HTTP方法,URI路徑外,還包括請求實體主體,從而防止PUT和POST請求表示被人篡改。
4. 但是因為nonce本身可以被用來進行摘要認證,所以也無法確保認證后傳遞過來的數據的安全性。
※ nonce:隨機字符串,每次返回401響應的時候都會返回一個不同的nonce。
※ nounce:隨機字符串,每個請求都得到一個不同的nounce。
※ MD5(Message Digest algorithm 5,信息摘要算法)
① 用戶名:realm:密碼 ⇒ ha1
② HTTP方法:URI ⇒ ha2
③ ha1:nonce:nc:cnonce:qop:ha2 ⇒ ha3
◆ WSSE(WS-Security)認證 ← 擴展HTTP認證
WSSE UsernameToken
服務器端以nonce進行質詢,客戶端以用戶名,密碼,nonce,HTTP方法,請求的URI等信息為基礎產生的response信息進行認證的方式。
※ 不包含密碼的明文傳遞
WSSE認證步驟:
1. 客戶端訪問一個受WSSE認證保護的資源。
2. 服務器返回401狀態,要求客戶端進行認證。
HTTP/1.1 401 Unauthorized
WWW-Authenticate: WSSE
realm="testrealm@host.com",
profile="UsernameToken" ← 服務器期望你用UsernameToken規則生成回應
※ UsernameToken規則:客戶端生成一個nonce,然后根據該nonce,密碼和當前日時來算出哈希值。
3. 客戶端將生成一個nonce值,並以該nonce值,密碼,當前日時為基礎,算出哈希值返回給服務器。
Authorization: WSSE profile="UsernameToken"
X-WSSE:UsernameToken
username="Mufasa",
PasswordDigest="Z2Y......",
Nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",
Created="2010-01-01T09:00:00Z"
4. 如果認證成功,則返回相應的資源。如果認證失敗,則仍返回401狀態,要求重新進行認證。
特記事項:
1. 避免將密碼作為明文在網絡上傳遞。
2. 不需要在服務器端作設置。
3. 服務器端必須保存密碼本身,否則無法進行身份驗證。