摘要和基本身份验证有什么区别?

时间:2012-03-02 14:06:31

标签: http authentication https basic-authentication digest-authentication

摘要基本身份验证有什么区别?

4 个答案:

答案 0 :(得分:164)

摘要式身份验证通过将哈希函数应用于用户名,密码,服务器提供的nonce值,HTTP方法和请求的URI来以加密形式传递凭据。

基本身份验证使用未加密的base64编码。

因此,通常只应在提供传输层安全性的地方使用基本身份验证,例如https。

有关所有血腥细节,请参阅RFC-2617

答案 1 :(得分:87)

HTTP基本访问身份验证

  • 第1步:客户端发出信息请求,以明文形式向服务器发送用户名和密码
  • 第2步:服务器响应所需信息或错误

基本身份验证使用 base64 编码(非加密)生成包含用户名和密码信息的加密字符串。 HTTP Basic不需要通过SSL实现,但如果不这样做,则根本不安全。因此,我甚至不愿意接受没有使用它的想法。

优点:

  • 它易于实现,因此您的客户端开发人员可以减少工作量并减少交付时间,因此开发人员可能更愿意使用您的API
  • 与摘要不同,您可以使用您喜欢的任何加密方法将密码存储在服务器上,例如bcrypt,使密码更安全
  • 只需要一次调用服务器来获取信息,使客户端比更复杂的身份验证方法更快一点

缺点:

  • SSL运行速度比基本HTTP慢,因此会导致客户端稍慢一些
  • 如果您无法控制客户端,并且无法强制服务器使用SSL,则开发人员可能不会使用SSL,从而导致安全风险

摘要 - 如果您可以控制客户端,或者可以确保它们使用SSL,则HTTP Basic是一个不错的选择。 SSL的缓慢可以通过仅发出一个请求的速度来消除

基本身份验证的语法 

Value = username:password
Encoded Value =  base64(Value)
Authorization Value = Basic <Encoded Value> 
//at last Authorization key/value map added to http header as follows
Authorization: <Authorization Value>

HTTP摘要访问身份验证
摘要访问认证使用散列(即摘要意味着切成小块)方法来生成加密结果。 HTTP摘要访问身份验证是一种更复杂的身份验证形式,其工作方式如下:

  • 第1步:客户端向服务器发送请求
  • 第2步:服务器响应一个特殊代码(称为,即 n ,仅使用一次),另一个表示realm(哈希)的字符串,并要求客户端进行身份验证
  • 第3步:客户端使用此nonce以及用户名,密码和领域(哈希)的加密版本进行响应
  • 第4步:如果客户端哈希与用户名,密码和域的哈希值匹配,则服务器会使用请求的信息进行响应,否则会出现错误

优点:

  • 没有用户名或密码以明文形式发送到服务器,使得非SSL连接比不通过SSL发送的HTTP Basic请求更安全。这意味着不需要SSL,这使得每个调用稍快一些

缺点:

  • 对于每次需要的调用,客户端必须为2,使进程比HTTP Basic
    • 稍慢
  • HTTP摘要容易受到中间人安全攻击,这基本上意味着它可能被黑客攻击
  • HTTP摘要阻止使用强密码加密,这意味着存储在服务器上的密码可能被黑客攻击

在摘要中,HTTP Digest本质上容易受到至少两次攻击,而使用SSL加密基本密码的服务器的服务器不太可能共享这些漏洞。

如果您无法控制您的客户端,他们可能会尝试在没有SSL的情况下执行基本身份验证,这比Digest安全性低得多。

RFC 2069摘要访问身份验证语法 

Hash1=MD5(username:realm:password)
Hash2=MD5(method:digestURI)
response=MD5(Hash1:nonce:Hash2)

RFC 2617摘要访问身份验证语法 

Hash1=MD5(username:realm:password)
Hash2=MD5(method:digestURI)
response=MD5(Hash1:nonce:nonceCount:cnonce:qop:Hash2)
//some additional parameters added

sourceexample

邮递员看起来如下:

enter image description here

注意:

  • 基本和摘要方案 专门用于使用用户名和密码进行身份验证。
  • 承载方案 专门用于使用令牌进行身份验证。

答案 2 :(得分:32)

让我们看一下使用Wireshark进行两次 HTTP 身份验证之间的区别(用于分析已发送或已接收数据包的工具)。

<强> 1。 Http基本身份验证

Basic

一旦客户端按照Web服务器的要求键入正确的用户名:密码,Web服务器就会在数据库中检查凭据是否正确并提供对资源。

以下是数据包的发送和接收方式:

enter image description here 在第一个数据包中,客户端使用资源上的 POST 方法填充凭据 - lab/webapp/basicauth。作为回报,服务器回复http响应代码 200 ok ,即,用户名:密码是正确的。

Detail of HTTP packet

现在,在Authorization标题中,它显示基本授权后跟一些随机字符串。此字符串是编码(Base64)版本的凭证admin:aadd(包括冒号)。

2。 Http Digest身份验证(rfc 2069)

到目前为止,我们已经看到基本身份验证通过网络以明文形式发送用户名:密码。但摘要身份验证使用哈希算法发送密码的 HASH

以下是显示客户端发出的请求和服务器响应的数据包。

Digest

一旦客户端键入服务器请求的凭据,密码就会使用算法转换为response,然后发送到服务器,如果服务器数据库具有与客户端给出的相同的响应服务器提供对资源的访问权限,否则会出现 401 错误。

Detailed digest auth packet 在上面Authorization中,使用responseUsernameRealmPassword,{{1}的值计算http-method字符串}和URI如图所示:

Response algorithm (包括冒号)

因此,我们可以看到摘要式身份验证更安全,因为它涉及哈希(MD5加密),因此数据包嗅探器工具无法嗅探密码,尽管在Basic Auth中确切的密码显示在Wireshark上。

答案 3 :(得分:-2)

基本身份验证使用基础64 Encoding来生成包含用户名和密码信息的加密字符串。

摘要访问身份验证使用哈希方法生成密码结果

相关问题
最新问题