1.HTTP質詢/響應認證框架
服務器收到一條請求並沒有按照請求執行動作,而是以一個認證質詢執行響應,要求用戶提供一個保密信息說明他是誰,當用戶再次發送請求時要附上保密證書,如果證書匹配則執行請求,否則返回一條錯誤信息
2.認證協議與首部
官方的兩個認證協議:
基本認證、摘要認證
步驟:
3.安全域
HTTP怎樣允許服務器爲不同的資源使用不同的訪問權限?
www-Authenticate質詢中包含了一個realm指令,Web服務器會將受保護的文檔組織成 一個安全域,每個安全域可以有不同的授權用戶集
二、基本認證
1.基本認證實例
2.Base-64用戶名/密碼編碼
Base-64:將一些8位字節序列轉換爲一些6位的塊,每個6位的塊在一個特殊的由64個字符組成的字母表中選擇一個字符
3.代理認證
三、基本認證安全缺陷
1.會通過網絡發送用戶名和密碼,容易被破解
2.第三方容易捕獲密碼
3.用戶可能會在多個帳號使用同樣的用戶名和密碼,會導致用戶其他賬戶的安全問題
4.沒有提供任何針對代理和作爲中間人的中間節點的防護措施,沒有修改認證首部,
卻修改了報文的其餘部分,嚴重改變了事務的本質
5.假冒服務器很容易騙過基本認證