摘要认证简单介绍

摘要认证是对基本认证的改进,即是用摘要代替账户密码,从而防止明文传输中账户密码的泄露

之前对摘要认证也不是很熟悉,还得感谢圆中的 parry 贡献的博文:ASP.NET Web API(三):安全验证之使用摘要认证(digest authentication)

我是觉得真心不错,让我少走很多弯路。这篇文章主要是对上边引用文章的讲解,老司机可以略过。

老规矩,上摘认证的工作流程图

看图大概可以知道摘要认证的步骤

客户端请求资源 api/employees

后台认证逻辑,返回401

数据提交后,服务端检查Headers中的Authorization信息,null值就返回401,提示需要认证,认证格式为Digest,同时返回的还有realm、nonce、qop这几个参数值

1、realm的值可以随意;nonce为随机数,一般是GUID格式的字符串,需要后台返回;qop的之分布有三种:没有定义(即空值)、auth、auth-int

2、后台处理过程:

3、返回的报文头信息是这样:

HTTP /1.1 401 Unauthorized
WWW-Authenticate:Digest
realm= ”RealmOfBadri”
qop=“auth”
nonce=”75d1c31e6d3b28f100edac595a53cf96”

客户端授权开始

接受到反馈后,知道资源需要授权才能访问;于是开始输入username、password

这里有个地方需要注意,项目默认是账户名密码一致才能验证通过的,看代码

点击登录,查看后台得到的数据

看图可以知道

realm、qop、nonce是服务器上次生成的值

username是我们输入的页面

uri是客户端要请求的地址

nc、cnonce是客户端自动生成的值

response是最终要传送的摘要信息,也是客户端生成的

是不是发现了什么不对?密码去哪了?

 其实这就是摘要认证的精髓了,不传送明文密码,只传送摘要信息

有同学可能要问,不传输密码,那服务端如何知道输入的用户名称就是属于当前操作用户呢

那接下来就得摘要信息出场了,我们来看看如何生成摘要信息

对(username:realm:password)进行HASH运算,得到HA1

对(方法名:请求的路径)进行HASH运算,即(GET:http://localhost:32934/api/employees),得到HA2

最终得到摘要信息response = 对(HA1:nonce:nc:cnonce:qop:HA2)进行HASH运算

后台参数解析

分析完前端,我们看看服务端如何解析这些参数的

其实服务端的工作就是根据客户端端传送过来的realm、qop、nonce、username、uri、nc、cnonce进行HASH运行得到新的摘要信息response2

如何用response2与客户端生成的response进行比较,如果一致,就说明认证通过;不一致,就继续返回401

主要就是这一段代码处理

因为对于服务端来说HA1:nonce:nc:cnonce:qop:HA2中除了HA1中的password没有从客户端得到,其他所有所有参数都得到了

所以摘要认证的核心就是:

对于客户端:我知道用户名称和密码和(一些认证的约束,即realm、qop、nonce之类),从而得到加密信息response

对于服务端:我知道用户名称和(一些认证的约束,即realm、qop、nonce之类),然后根据用户名称去数据库找到用户的密码,从而得到加密信息response2

最后比较response:response2,如果客户端输入的密码和数据库根据用户名称查到的密码一致,就肯定能认证通过。

最后需要提醒大家的地方,这个用户密码可以跟账号登录密码不一致,可以分成2个字段;你可以理解为:用户名+认证密码

因为认证密码即使是加密的也必须可逆,不然后台匹配不了

摘要认证测试

web端的摘要认证就是上边那样。

但是很多情况客户端不是通过浏览器访问的资源,比如通过一段程序去访问 api/employees,

这时候并不存在像浏览器弹出认证窗口的交互动作,这时候怎么搞?

其实也是很简单的,我们新建控制台项目 DigestTest

然后通过WebClient对象去访问资源文件

最后运行程序,就可以看到返回的数据

提示未经授权,因为我们的认证账户是错的,改成1111:1111,再试试

OK,完全没有问题

asp.net权限认证系列

  1. asp.net权限认证:Forms认证
  2. asp.net权限认证:HTTP基本认证(http basic)
  3. asp.net权限认证:Windows认证
  4. asp.net权限认证:摘要认证(digest authentication)
  5. asp.net权限认证:OWIN实现OAuth 2.0 之客户端模式(Client Credential)
  6. asp.net权限认证:OWIN实现OAuth 2.0 之密码模式(Resource Owner Password Credential)
  7. asp.net权限认证:OWIN实现OAuth 2.0 之授权码模式(Authorization Code)
  8. asp.net权限认证:OWIN实现OAuth 2.0 之简化模式(Implicit)

转载于:https://www.cnblogs.com/sunzhao/p/9684680.html

asp.net权限认证:摘要认证(digest authentication)相关推荐

  1. Java猿社区—Http digest authentication 请求代码最全示例

    文章目录 什么是摘要认证 服务器核实用户身份 客户端反馈用户身份 server 确认用户 代码示例 欢迎关注作者博客 简书传送门 什么是摘要认证 摘要认证( Digest authentication ...

  2. [转]asp.net权限认证:摘要认证(digest authentication)

    本文转自:http://www.cnblogs.com/lanxiaoke/p/6357501.html 摘要认证简单介绍 摘要认证是对基本认证的改进,即是用摘要代替账户密码,从而防止明文传输中账户密 ...

  3. Digest Authentication 摘要认证(转载)

    原文:Digest Authentication 摘要认证_weixin_34007906的博客-CSDN博客 摘要"式认证( Digest authentication)是一个简单的认证机 ...

  4. [转]asp.net权限认证:HTTP基本认证(http basic)

    本文转自:http://www.cnblogs.com/lanxiaoke/p/6353955.html HTTP基本认证示意图 HTTP基本认证,即http basic认证. 客户端向服务端发送一个 ...

  5. HTTP的认证方式之DIGEST 认证(摘要认证)

    核心步骤: 步骤 1: 请求需认证的资源时,服务器会随着状态码 401Authorization Required,返回带WWW-Authenticate 首部字段的响应.该字段内包含质问响应方式认证 ...

  6. rtsp摘要认证协议(Response计算方法)

    From: http://m.blog.csdn.net/blog/WTBEE/9001859 1. rtsp摘要认证协议流程 RTSP协议,全称Real Time Streaming Protoco ...

  7. RTSP鉴权认证之基础认证和摘要认证

    RTSP认证类型 基本认证(basic authentication):http 1.0提出的认证方案,其消息传输不经过加密转换因此存在严重的安全隐患: 摘要认证(digest authenticat ...

  8. rtsp摘要认证协议流程

    1. rtsp摘要认证协议流程 RTSP协议,全称Real Time Streaming Protocol,是应用层的协议,它主要实现的功能是传输并控制具有实时特性的媒体流,如音频(Audio)和视频 ...

  9. 关于海康摄像头的摘要认证

    最近在做一个项目时候要用到摄像头人脸抓拍,人脸识别等功能,原本使用海康的SDK就可以解决的,但是我们项目是在arm平台下开发的,而海康的SDK不支持arm平台,无奈联系的海康的技术支持,他们提供的了一 ...

最新文章

  1. 三星台积电大笑 LG弃自研CPU英特尔代工遭重创
  2. get请求乱码问题,用encodeURI和decodeURI
  3. 请你解释一下什么是线程池(thread pool)?
  4. Android实现XML解析技术 (转载http://www.cnblogs.com/hanyonglu/archive/2012/02/28/2370675.html)...
  5. ES6新特性_ES6对象的简化写法---JavaScript_ECMAScript_ES6-ES11新特性工作笔记008
  6. 【图像处理】hough变换_检测直线
  7. SpringMVC框架学习上篇
  8. 基于JavaEE的山水房屋中介管理系统_JSP网站设计_SqlServer数据库设计
  9. excel vba saveas 另存为使用方法
  10. 在线词云工具Tagxedo的使用
  11. 如何区分网线是几类的_如何判断网线是几类线?
  12. 深度学习笔记(19) 多任务学习
  13. [buuctf.reverse] 144_[XMAN2018排位赛]easyvm 147_[XNUCA2018]Code_Interpreter
  14. jupyter 安装问题 No such notebook dir
  15. 【Linux】/bin/sh、/bin/bash、/bin/dash、init=/sysroot/bin/bash(sh) 、init=/bin/bash(sh) 的区别
  16. Atmel 官方网站中文版
  17. 怎样将kux格式转换mp4?高效简单的技巧你要懂
  18. 这是一个秘密,是一个秘密
  19. [RelativeNAS] Relative Neural Architecture Search via Slow-Fast Learning
  20. Java SE Day-10

热门文章

  1. 鼠标悬浮 鼠标移上 移出事件时 改变背景颜色
  2. 在Oracle中如何使用Flashback Drop以及管理回收站
  3. html5制作风车旋转,HTML5 Canvas 旋转风车绘制
  4. 新发传染病与公共安全(慕课网)课堂测试一
  5. 关于模糊函数与距离多普勒耦合的理解
  6. Python对Excel的常规操作 之 读取,写入(保留原格式写入)
  7. 英文文献的一些有意思的写法
  8. 七星墩遗址确定为湖南规模最大新石器时代城址
  9. 我的2020工作与学习总结
  10. sklearn专题二:随机森林