1.HTTP质询/响应认证框架
服务器收到一条请求并没有按照请求执行动作,而是以一个认证质询执行响应,要求用户提供一个保密信息说明他是谁,当用户再次发送请求时要附上保密证书,如果证书匹配则执行请求,否则返回一条错误信息
2.认证协议与首部
官方的两个认证协议:
基本认证、摘要认证
步骤:
3.安全域
HTTP怎样允许服务器为不同的资源使用不同的访问权限?
www-Authenticate质询中包含了一个realm指令,Web服务器会将受保护的文档组织成 一个安全域,每个安全域可以有不同的授权用户集
二、基本认证
1.基本认证实例
2.Base-64用户名/密码编码
Base-64:将一些8位字节序列转换为一些6位的块,每个6位的块在一个特殊的由64个字符组成的字母表中选择一个字符
3.代理认证
三、基本认证安全缺陷
1.会通过网络发送用户名和密码,容易被破解
2.第三方容易捕获密码
3.用户可能会在多个帐号使用同样的用户名和密码,会导致用户其他账户的安全问题
4.没有提供任何针对代理和作为中间人的中间节点的防护措施,没有修改认证首部,
却修改了报文的其余部分,严重改变了事务的本质
5.假冒服务器很容易骗过基本认证