HTTP的basic认证是通过明文来传输用户名和密码,安全性不够,因此HTTP又推出了摘要认证的方式来验证用户名和密码。
流程和Basic认证差不多
1.浏览器访问服务端受保护的资源,服务端返回401,同时返回WWW-authtication头。
WWW-Authenticate: Digest realm="no auth",nonce="0CWD2X4u5vKCeJES442c+A==",qop="auth"
2.浏览器弹出弹窗,要求输入用户名和密码,用户输入用户名和密码,后发送请求头Authtication
Authorization: Digest username="aa", realm="no auth", nonce="0CWD2X4u5vKCeJES442c+A==", uri="/demo", response="3e0d15c567848a15743a660211fdf0b8", qop=auth, nc=00000002, cnonce="d91230888ae1da1f"
其中Digest表示验证方式,Basic验证时此处就为Basic, username为用户名,realm为服务器的资源验证方式,nonce为随机字符串, uri为访问的资源的路径,response为浏览器经过md5将各个信息经过运算后的值。nc为请求次数,cnonce为客户端生成的随机字符串。
3.服务器收到消息后,根据用户名来查询存储在数据库或缓存的密码,通过Hash运算与浏览器传送过来的response的值进行比较,如果相同表示认证成功。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)