博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
[转]asp.net权限认证:摘要认证(digest authentication)
阅读量:6587 次
发布时间:2019-06-24

本文共 1833 字,大约阅读时间需要 6 分钟。

本文转自:

 

摘要认证简单介绍

摘要认证是对基本认证的改进,即是用摘要代替账户密码,从而防止明文传输中账户密码的泄露

之前对摘要认证也不是很熟悉,还得感谢圆中的  贡献的博文:

我是觉得真心不错,让我少走很多弯路。这篇文章主要是对上边引用文章的讲解,老司机可以略过。

老规矩,上摘认证的工作流程图

 

看图大概可以知道摘要认证的步骤

客户端请求资源 api/employees

 

 

后台认证逻辑,返回401

数据提交后,服务端检查Headers中的Authorization信息,null值就返回401,提示需要认证,认证格式为Digest,同时返回的还有realm、nonce、qop这几个参数值

1、realm的值可以随意;nonce为随机数,一般是GUID格式的字符串,需要后台返回;qop的之分布有三种:没有定义(即空值)、auth、auth-int

2、后台处理过程:

3、返回的报文头信息是这样:

HTTP /1.1 401 Unauthorized

WWW-Authenticate:Digest
realm= ”RealmOfBadri”
qop=“auth”
nonce=”75d1c31e6d3b28f100edac595a53cf96”

 

客户端授权开始

接受到反馈后,知道资源需要授权才能访问;于是开始输入username、password

 

 这里有个地方需要注意,项目默认是账户名密码一致才能验证通过的,看代码

 

点击登录,查看后台得到的数据

 看图可以知道

 realm、qop、nonce是服务器上次生成的值

 username是我们输入的页面

 uri是客户端要请求的地址

 nc、cnonce是客户端自动生成的值

 response是最终要传送的摘要信息,也是客户端生成的

 

 是不是发现了什么不对?密码去哪了?

 其实这就是摘要认证的精髓了,不传送明文密码,只传送摘要信息

 

 有同学可能要问,不传输密码,那服务端如何知道输入的用户名称就是属于当前操作用户呢

 那接下来就得摘要信息出场了,我们来看看如何生成摘要信息

 对(username:realm:password)进行HASH运算,得到HA1

 对(方法名:请求的路径)进行HASH运算,即(GET:http://localhost:32934/api/employees),得到HA2

 最终得到摘要信息response = 对(HA1:nonce:nc:cnonce:qop:HA2)进行HASH运算

 

后台参数解析

分析完前端,我们看看服务端如何解析这些参数的

其实服务端的工作就是根据客户端端传送过来的realm、qop、nonce、username、uri、nc、cnonce进行HASH运行得到新的摘要信息response2

如何用response2与客户端生成的response进行比较,如果一致,就说明认证通过;不一致,就继续返回401

 

主要就是这一段代码处理

 

因为对于服务端来说HA1:nonce:nc:cnonce:qop:HA2中除了HA1中的password没有从客户端得到,其他所有所有参数都得到了

所以摘要认证的核心就是:

对于客户端:我知道用户名称和密码和(一些认证的约束,即realm、qop、nonce之类),从而得到加密信息response

对于服务端:我知道用户名称和(一些认证的约束,即realm、qop、nonce之类),然后根据用户名称去数据库找到用户的密码,从而得到加密信息response2

最后比较response:response2,如果客户端输入的密码和数据库根据用户名称查到的密码一致,就肯定能认证通过。

 

 

最后需要提醒大家的地方,这个用户密码可以跟账号登录密码不一致,可以分成2个字段;你可以理解为:用户名+认证密码

因为认证密码即使是加密的也必须可逆,不然后台匹配不了

 

摘要认证测试

web端的摘要认证就是上边那样。

但是很多情况客户端不是通过浏览器访问的资源,比如通过一段程序去访问 api/employees,

这时候并不存在像浏览器弹出认证窗口的交互动作,这时候怎么搞?

其实也是很简单的,我们新建控制台项目 DigestTest

 

然后通过WebClient对象去访问资源文件

最后运行程序,就可以看到返回的数据

 

 提示未经授权,因为我们的认证账户是错的,改成1111:1111,再试试

 

OK,完全没有问题

 

好了,搞定收工!

 

asp.net权限认证系列

 

 
分类: 

转载地址:http://achno.baihongyu.com/

你可能感兴趣的文章
如何实现百万TPS?详解JMQ4的存储设计
查看>>
Play! Framework 系列(一):初探 play 框架
查看>>
Shiro【授权、整合Spirng、Shiro过滤器】
查看>>
解剖 RxJava 之过滤操作符
查看>>
滴滴 Web 移动端组件库 cube-ui 开源
查看>>
一篇文章了解JsBridge之IOS篇
查看>>
0712 - 坚守,加强老本
查看>>
MarkDown语法
查看>>
这么说吧,NIO很简单,其实就是个牛逼IO
查看>>
七、【应用的主要框架】
查看>>
使用Python快速获取公众号文章定制电子书(二)
查看>>
weak和assign的区别
查看>>
iOS下JS与OC互相调用(七)--Cordova 基础
查看>>
两列自适应布局方案整理
查看>>
测试本地node包
查看>>
Three.js 关于立方体贴图产生边缘锯齿问题
查看>>
自己动手,在macOS High Sierra中编译一个可debug的JDK
查看>>
用掘金-Markdown 编辑器写文章
查看>>
一文搞懂前端对象的深拷贝与浅拷贝
查看>>
Like Sunday, Like Rain - JavaScript运算符优先级
查看>>