程序员经验分享-hwhale

http digest认证过程分析及例子

2023-05-16

验证过程:

          

步骤一、客户端向服务器申请数据                        
****************************Request******************************
GET /auth HTTP/1.1(\r\n)
Accept: */*(\r\n)
Host: 192.168.1.15(\r\n)
Content-Length: 0(\r\n)
(\r\n\r\n)
步骤二、服务器回复说需要验证,并发送了需要的数据( 注意这里是Digest,决定了需要使用Digest认证方式,而不是Basic等),这些数据决定了客户端验证需要遵循的算法。
****************************Response******************************
HTTP/1.1 401 Unauthorized(\r\n)
Connection: Keep-Alive(\r\n)
Content-Length: 0(\r\n)
Date: Wed, 11 Sep 2013 09:35:54 GMT(\r\n)
WWW-Authenticate: Digest realm="TestDigest", nonce ="c7237893-4eca-478e-b016-548f7998933b", algorithm =MD5, qop ="auth"(\r\n)

(\r\n\r\n)

步骤三、发送验证信息

步骤二数据包的分析:
    状态码401表示该客户端未被授权,需要客户端发送验证信息,注意这时候必须发送WWW-Authenticate头域,否则客户端不知道该依据什么规则来发送验证信息。依据http头域中WWW-Authenticate中的字段。根据“RFC 2617 - HTTP Authentication: Basic and Digest Access Authenti”该文档中,介绍了如何依据服务器返回的数据发送验证信息。
服务器通过规则计算出的结果与客户端发送的response进行比较,相等才认为是合法用户,于是服务器发送200 OK。
依据该文档:digest的计算如下(附录2,生成发送 WWW-Authenticate的函数),即上文中说到的response,计算出来的digest通过response字段发送给服务器。
If "qop" is used, the digest is:
    H(H(A1):nonce:nc:cnonce:qop:H(A2))-----其中cnonce是有自己产生的随机字符串(本文后面附录(1)生成随机字符串函数),其他字符串依据下面规则得出
  where H is the hash function such as MD5; A1 and A2 will be given later.
 If "qop" is not used, the digest is:
     H(H(A1):nonce:H(A2))
 If the "algorithm" chosen is "MD5" or is unspecified:
     A1 = Username:realm:password
 If the "algorithm" chosen is "MD5-sess", then A1 is calculated only once – 
on the first request by the client following receipt of a WWW-Authenticate challenge from the server.
It uses the server nonce from that challenge, and the first client nonce:
     A1 = Username:realm:password:nouce:cnonce
 If "qop" is "auth" , then
     A2 = Method:URL
 If "qop" is "auth-int" for message integrity, then
     A2 = Method:URL:H(entity-body)
显然本例中Response如下计算:
H(H(A1):nonce:nc:cnonce:qop:H(A2))
A1 = unq(username-value) ":" unq(realm-value) ":" passwd
A2 = Method ":" digest-uri-value
其中H是MD5算法。
 ****************************Request******************************
GET /Auth HTTP/1.1
Accept: */*
Host: 192.168.1.15
Authorization: Digest username="LiPing",realm="TestDigest",qop="auth",algorithm="MD5",uri="/Auth",nonce="1f4b9851-bc18-4dee-91ad-683b5adee7ae",nc=00000001,cnonce="L0RGJ52PLai068jYU55G036655qZF6D7",response="9471d8765dc5c88a78829b2e2e6eb7dd"
 步骤四、服务器返回OK,否则继续返回401来告诉客户端需要验证
 ****************************Response******************************
HTTP/1.1 200 OK
Connection: Keep-Alive
Date: Thu, 12 Sep 2013 00:52:40 GMT

 关于该验证过程实现的双向验证机制,是通过服务器或是客户端产生的随机字符串,然后经过MD5算法来实现的。该文最后服务器没有返回Authorization头域,这个也可以的,只是不够规范。

附录:

(1)

//函数功能:生成随机字符串
//函数参数:生成随机字符串的长度
//返回值:成功返回随机字符串
char *createRandomNum(int N)
{
     int flag;
	 int k=0,j=0;
	 char *random_str =  (char*)malloc(N+1);
	 random_str[0] = '\0';
	 //1970到现在的时间sec作为种子
	 unsigned int seed = (unsigned)time(NULL);
	 srand(seed);
	 for(j=0;j<N;j++)
	  {
		   unsigned int random_num = rand();
		   flag = random_num%3;
		   if(flag == 0)
		   {
			   random_str[k++]='0'+random_num%10;
		   }
		   else if(flag == 1)
		   {
			   random_str[k++]='a'+random_num%26;
		   }
		   else if(flag == 2)
		   {
			   random_str[k++]='A'+random_num%26;
		   }
		   srand(random_num);
	  }
	 random_str[k]='\0';
	 return random_str;
}
附录2 

//函数功能:获取子串
//函数参数:source目标字符串;start_str开始字符串;end_chr结束字符
//返回值:成功返回该子串,失败返回NULL
char* GetTargetStr(const char*source,char*start_str,char end_chr)
{
	char *p_start = NULL;
	char *p_end = NULL;
	p_start = strstr(source,start_str);
	p_start += strlen(start_str);
	p_end = strchr(p_start,end_chr);
	char *ret = NULL;
	if(p_end != NULL)
	{
		ret = (char*)malloc(p_end - p_start +1);
		ret[p_end - p_start] = '\0';
		memcpy(ret,p_start,p_end - p_start);
	}
	return ret;
}
//函数功能:获取WWW_Authenticate认证信息
//函数参数:self通信句柄;HttpRsp服务器响应数据包;HttpRspSize数据包的尺寸;head_len头长度;user登陆用户名;pwd用户密码
//返回值:成功返回OK,失败
//备注:该函数中nc的值,这里客户端不保存服务器发送的nonce,所以每次都是00000001
char *GetClientWWW_Authenticate(const char*response,long responseSize,int head_len\
		                  ,const char*user,const char*pwd)
{
	char *realm = GetTargetStr(response,"realm=\"",'\"');
	char *nonce = GetTargetStr(response,"nonce=\"",'\"');
	char *algorithm = GetTargetStr(response,"algorithm=",',');
	char *qop = GetTargetStr(response,"qop=\"",'\"');

	assert(realm && nonce && algorithm && qop);
	//FIXME
	char *nc = "00000001";
	char *cnonce = createRandomNum(32);//需要生成随机字符串

	char A1[100] = {0};
	sprintf(A1,"%s:%s:%s",user,realm,pwd);
	char *md5_A1 = MD5_sign((unsigned char*)A1,strlen(A1));

	char A2[80] = {0};
	sprintf(A2,"GET:/Auth");
	char *md5_A2 = MD5_sign((unsigned char*)A2,strlen(A2));

	char contact[512] = {0};
	sprintf(contact,"%s:%s:%s:%s:%s:%s",md5_A1,nonce,nc,cnonce,qop,md5_A2);
	FREE_MALLOC(md5_A1);
	FREE_MALLOC(md5_A2);

	char *rsp =  MD5_sign((unsigned char*)contact,strlen(contact));
	char WWW_Authenticate[256] = {0};
	char*format = "Digest username=\"%s\",realm=\"%s\",qop=\"%s\",algorithm=\"%s\",uri=\"/Auth\",nonce=\"%s\",nc=%s,cnonce=\"%s\",response=\"%s\"";
	sprintf(WWW_Authenticate,format,user,realm,qop,algorithm,nonce,nc,cnonce,rsp);

	FREE_MALLOC(realm);
	FREE_MALLOC(qop);
	FREE_MALLOC(algorithm);
	FREE_MALLOC(nonce);
	FREE_MALLOC(cnonce);
	FREE_MALLOC(rsp);
    return strdup(WWW_Authenticate);
}



本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

http

Digest

认证过程分析及例子

http digest认证过程分析及例子 的相关文章

  • vue.js 中的 $http.get() 与 axios.get() 有什么区别?

    我有点困惑理解之间的主要区别 http get and axios get 我查阅了很多资源 但没有得到满意的答案 有人可以帮我吗 http 是一个全局变量 可能是您在 vuejs 项目中定义的 请在您的项目中搜索 http 您可能会发现它

  • 允许获取请求但仅在我的域中?

    在我的网站上 我可以使用 GET 请求触发某些操作 例如隐藏或删除评论的功能 我不是很担心 但如果有人使用 img src url 设计攻击来删除评论或电子邮件 那会很烦人 有办法防止这种情况吗 我使用 httponlycookies 作为

  • 对于“未找到项目”错误页面,最合适的 HTTP 状态代码是什么

    我很好奇 项目不存在 页面最合适的 HTTP 状态代码是什么 如果页面本身不存在 我显然会使用 404 但是 我的其中一个页面有一个userid参数 它是一个 编辑用户 页面 如果不存在具有给定用户 ID 的用户 我将显示一个错误页面 但我

  • 为什么大多数 API 分页不依赖 HTTP Range 标头?

    我搜索了很多 但找不到这个问题的好的答案 作为 HATEOAS 爱好者 我认为这个标题非常适合 Range item 1 20 100 在HTTP规范中 我不明白一些 矛盾 范围单位可以接受 其他范围单位 range unit bytes

  • 如何让 Symfony 2 采用协议方案(http vs https)

    我有一个 Symfony 2 网站 在开发中运行在 HTTP 上 在生产中运行在 HTTPS 上 我注意到在生产中 Symfony 生成的 URL 仍然全部呈现为 HTTP 我怎么也可以 让框架采用当前提供网站的协议 可能是首选 或者 仅在

  • X-Forwarded-For 和 X-Real-IP 标头之间的差异

    我使用 Nginx 作为反向代理 这些标头有什么区别 proxy set header X Forwarded For proxy add x forwarded for proxy set header X Real IP remote

  • Gorilla mux,“捕获”响应代码的最佳方式

    我所有的路由都使用 Gorilla mux 现在我的应用程序工作正常 我想找到一种方法将我的所有响应代码记录到 例如 statds 我找到了这个包 https godoc org github com gorilla handlers Lo

  • AJAX 中的 GET 与 POST?

    为什么 AJAX 中有 GET 和 POST 请求 因为它无论如何都不影响页面 URL 由于数据未反映到页面 URL 因此通过 AJAX 中的 GET 传递敏感数据有何区别 您应该根据您的 Web 服务要求使用正确的 HTTP 动词 当处理

  • 使用 PHP 的 HTTP PUT、DELETE 和 I/O 流

    除了 HTTP PUT 方法之外 还有什么方法可以访问通过 HTTP PUT 方法发送的数据 putdata fopen php input r 我从未与PUT and DELETE方法和 putdata fopen php input r

  • NSURLSession 帖子:uploadTask 和 dataTask 之间的区别

    这是我的两个例子 let config NSURLSessionConfiguration defaultSessionConfiguration config HTTPAdditionalHeaders Accept applicatio

  • 浏览器和服务器在实践中是否使用 HTTP 内容协商?

    我正在学习关于HTTP内容协商 https developer mozilla org en US docs Web HTTP Content negotiation眼下 我已经了解客户端和服务器能够协商所请求内容的表示的基本方式 但我不知

  • 网页编码,设置矛盾[重复]

    这个问题在这里已经有答案了 如果一个网页有 但http标头有 Content Type text html charset UTF 8 那么假设什么编码呢 在 HTML5 中 优先级定义为 用户浏览器设置 字节顺序标记 HTTP 标头 or

  • http://*:80 和 http://+:80 有什么区别

    在学习中关于网络部署 http technet microsoft com en us library dd569093 28WS 10 29 aspx我遇到了一些涉及 http 80 和 http 80 的 netsh exe 命令 这些

  • 为什么 Python 3 http.client 比 python-requests 快这么多?

    我今天测试了不同的 Python HTTP 库 我意识到http client https docs python org 3 library http client html库的执行速度似乎比requests http docs pyth

  • Web 服务器可以处理多少个套接字连接?

    假设我要获得共享 虚拟或专用托管 我在某处读到服务器 计算机一次只能处理 64 000 个 TCP 连接 这是真的吗 无论带宽如何 任何类型的托管可以处理多少个 我假设 HTTP 通过 TCP 工作 这是否意味着只有 64 000 个用户可

  • Ruby 中的参数化 get 请求?

    如何创建 HTTPGETRuby 中带参数的请求 这很容易做到 当你POSTing require net http require uri HTTP post form URI parse http www example com sea

  • 无法获取POST参数

    我正在使用 WebApp2 作为框架在 Python 中开发一个 Web 应用程序 我无法获取通过填写表单提交的http POST请求参数 这是我创建的表单的 HTML 代码

  • (Flutter) HTTPClient 参数无效:URI 中未指定主机

    目前正在开发一个小应用程序 允许用户查看存储在 Heroku 上的数据库 但是在使用数据库的 URL herokuapp com api 时 我遇到了上述问题 var client createHttpClient var response

  • 文件下载时文件名损坏 (IE)

    我实现了一个简单的文件上传下载机制 当用户单击文件名时 将下载带有以下 HTTP 标头的文件 HTTP 1 1 200 OK Date Tue 30 Sep 2008 14 00 39 GMT Server Microsoft IIS 6

  • 是否可以要求您的用户清除您网站的 HTTP 严格传输安全 (HSTS)?

    如果您为具有较长生命周期的网站打开 HSTS 但后来决定将其关闭 例如由于第三方软件的问题 是否可以警告用户清除其 HSTS 缓存 要关闭服务器的 HSTS 请发送以下标头 Strict Transport Security max age

随机推荐

  • (CMake) 库的生成和链接

    文章目录 前言前置准备当前项目的库静态库动态库 外部项目的库静态库动态库 库的总结总code函数add subdirectory 添加源文件目录add library 指定的源文件生成库target link libraries 为目标链接

  • vscode配置C++编译环境(windows环境下)

    vscode配置C 43 43 编译环境 xff08 windows环境下 xff09 记录下自己在vscode中配置C 43 43 编译环境的过程 xff0c 仅供参考 一 VSCODE MinGW编译器 cMake跨平台编译工具下载 1

  • STL标准库详解

    STL标准库 主要由容器 迭代器 算法组成 STL主要头文件 lt algorithm gt lt deque gt lt functional gt lt iterator gt lt vector gt lt list gt lt ma

  • Mask R-CNN详解(图文并茂)

    Mask R CNN Mask R CNN是一个实例分割 xff08 Instance segmentation xff09 算法 xff0c 主要是在目标检测的基础上再进行分割 Mask R CNN算法主要是Faster R CNN 43

  • python-roslaunch : 依赖: python-roslib 但是它将不会被安装

    在配置环境中将python配置删除类 xff0c 导致ROS系统的好多依赖都没了 安装配置ROS时遇到问题 xff1a 1 先按ROS WIKI上进行安装 xff0c 之后进行测试看是否安装上 2 测试代码 xff1a 第一个终端 xff1

  • pycharm函数调用关系可视化(Graphviz + pycallgraph画图)

    文章目录 介绍Graphviz 安装pycallgraph安装实践 介绍 一个 python project 中往往包含很多 py 文件 python文件中又会包含很多函数 xff0c 函数之间相互传参和调用 如果遇到代码行数很多的情况 x

  • Linux下的UDP通信

    socket 函数 函数说明 xff1a 建立新的socket通信 头文件 xff1a include lt sys socket h gt include lt sys types h gt 函数定义 xff1a int socket i

  • error: array type has incomplete element type ‘int[]‘

    项目场景 xff1a 数组作为函数的形参 问题描述 xff1a error array type has incomplete element type 39 int 39 原因分析 xff1a 多维数组做为函数参数时 xff0c 只可以省

  • 【stm32F1_GPIO初始化函数的参数含义】

    文章目录 前言一 LED 点灯实验二 疑问记录1 问题描述2 问题解决 总结 前言 之前学习过51 xff0c 现在转学32 xff0c 由于课题组需要 xff0c 我需要尽量短的时间内掌握stm32的用法以及Freertos的操作系统 从

  • 使用 curl 命令发送 POST 请求的几种方式

    使用 curl 命令发送 POST 请求的几种方式 HTTP 的 POST 请求通常是用于提交数据 xff0c 可以通过这篇文章来了解各种提交方式 xff1a 常见的 POST 提交数据方式 做 Web 后端开发时 xff0c 不可避免地要

  • Linux环境下GCC以及ELF的初步使用

    Linux环境下可执行程序的安装和GCC以及ELF的初步使用 xff0c 熟悉第三方函数库及游戏程序介绍 一 可执行程序的安装过程1 使用用gcc生成 a静态库与 so动态库文件2 静态库文件的使用3 动态库文件使用 二 gcc编译工具集中

  • 动态库和静态库

    前言 xff1a 库是已写好的 供使用的 可复用代码 xff0c 每个程序都要依赖很多基础的底层库 从本质上 xff0c 库是一种可执行代码的二进制形式 可以被操作系统载入内存执行 库分为两种 xff1a 静态库 xff08 a lib x

  • c++封装yolov4进行目标检测

    yolo4是用c 43 43 写的 xff0c 在工程中的部署特别方便 之前项目中使用yolov4 xff0c 取得了不错的效果 在这里记录一下 使用官方接口调用 xff0c 我们首先得编译darknet动态库 xff0c 下载yolov4

  • 【FPGA】FPGA实现UART串口通信回环

    目录 一 UART协议基础二 系统模块划分三 代码实现1 uart顶层设计模块2 uart rx串口数据接收模块3 control控制模块4 uart tx串口数据发送模块 四 仿真五 上板验证六 踩坑事项 一 UART协议基础 关于UAR

  • MessageFilter [target=odom ]: Dropped 95.28% of messages so far.Please turn the [ros.gmapping.messag

    由于树莓派自身运算能力不足 xff0c 稳定性较为欠缺 xff0c 一些功能复杂的功能包运行速度较慢 xff0c 在笔记本上能更快更好的完成相应任务 实验过程中 xff0c 可以利用分布式原理 xff0c 设置机器人工控机为从机 xff0c

  • ./a.out: error while loading shared libraries: libcjson.so.1: cannot open shared object file: No suc

    问题 用自己的库编写程序运行时报错 xff1a a out error while loading shared libraries libcjson so 1 cannot open shared object file No such

  • 20种vscode快捷键操作,助你高逼格高效率写代码

    一 代码格式 此快捷键可以缩进编辑器设置中已设置的代码 代码格式 提示 xff1a 在结尾或开头使用 笔者更倾向于在处理完文件中的代码后使用 在Windows系统 xff1a Shift键 43 Alt键 43 F键 在Mac系统 xff1

  • Jetson xavier Nx & jetson nano 上手 + 刷机

    本教程基于Jetson xavier Nx开发套件 本教程参考Nvidia官方刷机教程 制作启动盘 在官方下载中心下载SD卡镜像并解压 下载SD Memory Card Formatter 需要划到页面最下方 xff0c 点击 Accept

  • 2017阿里研发工程师C/C++实习生招聘笔试题

    1 做股票的人总会忍不住幻想 xff1a 如果知道明天怎样就好了 那么问题来了 xff0c 如果打开上帝视角 xff0c 你最好能做到怎样 xff1f 真实世界的股票交易规则太复杂 xff0c 我们这里做一些简化 首先我们假设有N个股票和M

  • http digest认证过程分析及例子

    验证过程 xff1a 步骤一 客户端向服务器申请数据 Request GET auth HTTP 1 1 r n Accept r n Host 192 168 1 15 r n Content Length 0 r n r n r n 步

热门标签