一、说明

web用户认证,最开始是get提交+把用户名密码存放在客户端的cookie中的形式;在意识到这样不安全之后逐渐演变成了post提交+把用户凭证放到了服务端的session中的形式(当然sessionid还在cookie中)。

不过其实最初给http设计的认证方式,既不是“get+cookie”也不是“post+session”,而是Basic和Digest。但Basic和Digest并不流行我想主要是因为麻烦,一是说Basic和Digest使用的Authorization头并不会被浏览器自动发往服务器,二是说对于Digest计算很麻烦。

二、Basic认证形式

2.1 Basic认证请求示例

请求示例如下,主要是Authorization头(位置不重要,http头一般都不分先后)

GET /GetDeviceInfo HTTP/1.1

Host: 192.168.220.128

Authorization: Basic YWRtaW46MTIzNDU2

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:60.0) Gecko/20100101 Firefox/60.0

Accept-Encoding: gzip, deflate

Accept: */*

Cache-Control: no-cache

Cookie: Secure

Connection: close

2.2 Basic认证计算方法

前边请求Authorization头的YWRtaW46MTIzNDU2,实际上是用户名admin密码123456使用以下计算方法得到:

base64(username:password)

Python计算代码如下:

import base64

def get_basic_authorization_header_value(username,password):

    # base64编码前后都(要)是字节码形式

    authorization_value = base64.b64encode((f"{username}:{password}").encode()).decode()

    authorization_header_value = f"Basic {authorization_value}"

    return authorization_header_value

三、Digest认证形式

3.1 Digest认证请求示例

GET /GetDeviceInfo HTTP/1.1

Host: 192.168.220.128

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:60.0) Gecko/20100101 Firefox/60.0

Authorization: Digest username="admin",realm="TVT API Test Tool",nonce="d4f95e85dc5a39a4914db61b67878f5b",uri="GetDeviceInfo",algorithm="MD5",cnonce="d4f95e85dc5a39a4914db61b67878f5b",nc=00000001,qop="auth",response="1cc4cf126d3c4a70d2de34c5d8c2943c"

Accept-Encoding: gzip, deflate

Accept: */*

Cache-Control: no-cache

Cookie: Secure

Connection: close

username----系统用户名;客户端自行填充

realm----领域;服务端通过WWW-Authenticate头返回内容可以自己随便定,但其目的是用于提示客户端当前是什么系统,所以规范来说应类似于“myhost@testrealm.com”的形式。

nonce----服务端通过WWW-Authenticate头返回的随机数

uri----请求接口或资源(似乎规范来说应用GET或POST后的一样,上边例子中少了/是因为服务端没按规范实现)

algorithm----后边response用的计算方法

cnonce----client nonce,客户端生成的随机数

nc----nonce count,用于标识进行请求的次数。(但你一直不变服务端也不会管你对不对)

qop----quality of protection,进一步限定response的计算方法,服务端通过WWW-Authenticate头返回。

response----认证最主要的值,前面各字段除algorithm外全要参与该值的计算。

3.2 Digest认证计算方法

在最开始的RFC 2069中规定response计算方法如下:

HA1 = MD5(username:realm:password)

HA2 = MD5(method:uri)

response = MD5(HA1:nonce:HA2)

随后的RFC 2617对计算方法进行了增强,规定计算方法如下(当algorithm值为MD5或未指定、qop未指定时等同RFC 2069):

# HA1部分

# 当algorithm值为"MD5"或未指定时,HA1计算方法如下

HA1 = MD5(username:realm:password)

# 当algorithm值为"MD5-sess"时,HA1计算方法如下

HA1 = MD5(MD5(username:realm:password):nonce:cnonce)

# HA2部分

# 当qop值为"auth"或未指定时,HA2计算方法如下

HA2 = MD5(method:uri)

# 当qop值为"auth-int"时,HA2计算方法如下;entityBody是指整个body(?)

HA2 = MD5(method:uri:MD5(entityBody))

# response部分

# 当qop值为"auth"或"auth-int"时,response计算方法如下

response = MD5(HA1:nonce:nonceCount:cnonce:qop:HA2)

# 当qop未指定时,response计算方法如下

response = MD5(HA1:nonce:HA2)

Python计算代码如下:

import hashlib

# body初始值不要是None,不然下边encode时会报错

def get_basic_authorization_header_value(username, password, uri, method, realm, nonce, nc, cnonce, algorithm=None, qop=None, body=""):

    response_value = calc_digest_response_value(username, password, uri, method, realm, nonce, nc, cnonce, algorithm, qop, body)

    authorization_header_value = f'Digest username="{username}",realm="{realm}",nonce="{nonce}",uri="{uri}",algorithm="{algorithm}",cnonce="{cnonce}",nc={nc},qop="{qop}",response="{response_value}"',

    return authorization_header_value

def calc_digest_response_value(username, password, uri, method, realm, nonce, nc, cnonce, algorithm=None, qop=None, body=""):

    # HA1部分

    # 当algorithm值为"MD5"或未指定时,HA1计算方法如下

    if algorithm == "MD5" or algorithm == "" or algorithm is None:

        HA1 = hashlib.md5((f"{username}:{realm}:{password}").encode()).hexdigest()

    # 当algorithm值为"MD5-sess"时,HA1计算方法如下

    elif algorithm == "MD5-sess":

        HA1 = hashlib.md5((f"{username}:{realm}:{password}").encode()).hexdigest()

        HA1 = hashlib.md5((f"{HA1}:{nonce}:{cnonce}").encode()).hexdigest()

    else:

        response_value = '"the value of algorithm must be one of "MD5"/"MD5-sess"/""/None'

        return response_value

    # HA2部分

    # 当qop值为"auth"或未指定时,HA2计算方法如下

    if qop == "auth" or qop == "" or qop is None:

        HA2 = hashlib.md5((f"{method}:{uri}").encode()).hexdigest()

    # 当qop值为"auth-int"时,HA2计算方法如下;entityBody是不是指整个body我其实不太确定

    elif qop == "auth-int":

        HA2 = hashlib.md5((f"{body}").encode()).hexdigest()

        HA2 = hashlib.md5((f"{method}:{uri}:{HA2}").encode()).hexdigest()

    else:

        response_value = '"the value of qop must be one of "auth"/"auth-int"/""/None'

        return response_value

    # response部分

    # 当qop值为"auth"或"auth-int"时,response计算方法如下

    if qop == "auth" or qop == "auth-int":

        response_value = hashlib.md5((f"{HA1}:{nonce}:{nc}:{cnonce}:{qop}:{HA2}").encode()).hexdigest()

    # 当qop未指定时,response计算方法如下

    elif qop == "" or qop is None:

        response_value = hashlib.md5((f"{HA1}:{nonce}:{HA2}").encode()).hexdigest()

    else:

        response_value = "unknown error"

    return response_value

参考:

https://en.wikipedia.org/wiki/Digest_access_authentication

https://tools.ietf.org/html/rfc2069

https://tools.ietf.org/html/rfc2617

HTTP Basic和Digest认证介绍与计算的更多相关文章

  1. HTTP认证模式:Basic and Digest Access Authentication

    一. Basic 认证 客户端以“ : ”连接用户名和密码后,再经BASE64编码( Base64 Content-Transfer-Encoding )通过Authorization请求头发送该密文 ...

  2. http 登录Digest认证相关知识

    Digest access authentication https://en.wikipedia.org/wiki/Digest_access_authentication Digest acces ...

  3. 【ASP.NET Web API2】Digest认证

    Digest摘要认证 对于Basic认证方案来说,被传输的认证凭证仅仅采用Base64编码,所以包含密码的认证凭证基本上可以视为明文传输.Digest认证在此基础上进行了改善,在一定程度上提高了安全系 ...

  4. OAuth2.0认证介绍

    OAuth2.0鉴权 返回 目录 [隐藏] 1 腾讯微博OAuth2.0认证介绍 2 获取accesstoken的两种方式 2.1 1.Authorization code grant 2.1.1 第 ...

  5. 批量检测GoAhead系列服务器中Digest认证方式的服务器弱口令

    最近在学习用python写爬虫工具,某天偶然发现GoAhead系列服务器的登录方式跟大多数网站不一样,不是采用POST等方法,通过查找资料发现GoAhead是一个开源(商业许可).简单.轻巧.功能强大 ...

  6. 使用crypt配置Basic Auth登录认证

    简介 Basic Auth用于服务端简单的登录认证,通常使用服务器Nginx.Apache本身即可完成.比如我们要限定某个域名或者页面必须输入用户名.密码才能登录,但又不想使用后端开发语言,此时Bas ...

  7. 本文将介绍“数据计算”环节中常用的三种分布式计算组件——Hadoop、Storm以及Spark。

    本文将介绍“数据计算”环节中常用的三种分布式计算组件——Hadoop.Storm以及Spark. 当前的高性能PC机.中型机等机器在处理海量数据时,其计算能力.内存容量等指标都远远无法达到要求.在大数 ...

  8. 任务31:课时介绍 & 任务32:Cookie-based认证介绍 &任务33:34课 :AccountController复制过来没有移除[Authorize]标签

    任务31:课时介绍 cookie-based网站这边的认证 jwt基于移动端和前后端分离的项目,jwt有一些独特的优势 jwt在asp.net core中的实现机制,了解实现机制并进行扩展.比如非标准 ...

  9. 接口开发---basic auth接口认证

    开发中遇到了basic auth来认证的案例,这里总结一下: Basic Auth简单点说明就是每次请求API时都提供用户的username和password.[base64encode(userna ...

随机推荐

  1. Lamda Expression

    Expression<Func<Student, bool>> filter=s=>s.Name.Contains("a") && s ...

  2. ARM LCD屏调试3--屏的应用编程

    2011-06-25 19:20:47 驱动自己写完了,应用函数自己就不写了,找了一点代码参考,移植并修改了一下,配合之前的定义的接口文档,我贴出部分代码.目录: 一,开发环境... 1 二,底层函数 ...

  3. redis参数说明

    感谢网友分享. 1. Redis默认不是以守护进程的方式运行,可以通过该配置项修改,使用yes启用守护进程 daemonize no 2. 当Redis以守护进程方式运行时,Redis默认会把pid写 ...

  4. OO第二次博客作业—17373247

    OO第二次博客作业 零.写在前面 OO第二单元宣告结束,在这个单元里自己算是真正对面向对象编程产生了比较深刻的理解,也认识到了一个合理的架构为编程带来的极大的便利. (挂三次评测分数 看出得分接近等差 ...

  5. 2018年-2019年第二学期第七周C#学习个人总结

    在本周我又学习了,第五章面向对象高级中的5.5异常和5.6命名空间和程序集.在5.5异常中我知道了异常层次结构:所有的异常类都继承自Exception类.由于发生了异常程序立即终止无法再继续向下执行. ...

  6. centos卸载mysql

    1.查看系统安装mysql rpm -qa|grep -i mysql 2.卸载 rpm -ev --nodeps mysql-community-release-el7-5.noarch 3.查询剩 ...

  7. Vue学习(一)Vue目录结构

    安装教程网上一大把,可以自己搜索.记录下学习过程. 认识下Vue的目录结构,取自:https://www.cnblogs.com/dragonir/p/8711761.html vue 文件目录结构详 ...

  8. 20175312 2018-2019-2 《Java程序设计》第9周学习总结

    20175312 2018-2019-2 <Java程序设计>第9周学习总结 教材学习内容总结 已依照蓝墨云班课的要求完成了第九章的学习,主要的学习渠道是PPT,和书的课后习题. 总结如下 ...

  9. bzoj2131 免费的馅饼——树状数组优化dp

    中文题目,问你最后能最多够得到多少价值的馅饼.因为宽度10^8且个数为10^5.所以不可以用dp[x][y]表示某时间某地点的最大权值. 假设你在x点处接到饼后想去y点接饼.那么需要满足的条件是t[y ...

  10. VC++调试错误的解决方案

    这篇文章主要用来记录使用Visual Studio过程中,出现的各种error,并提供自己当时解决的方案.但是,一个error可能由不用原因引起的,文中案例仅供大家参考. nafxcwd.lib(th ...