HTTP API 认证技术详解(二):Digest Access Authentication

这篇具有很好参考价值的文章主要介绍了HTTP API 认证技术详解(二):Digest Access Authentication。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

什么是 Digest Access Authentication 认证

Digest Access Authentication 认证的原理

Digest Access Authentication 认证的安全性

使用 Golang 实现 Digest Access Authentication

使用建议

小结


HTTP API 认证技术主要用于验证客户端身份,并确保只有经过授权的实体才能访问受保护的资源。随着安全需求的日益增长,API 认证技术也在不断发展和演进。本文将详细讲解 Digest Access Authentication 认证技术。

什么是 Digest Access Authentication 认证

Digest Access Authentication 是一种基于 HTTP 协议的身份验证机制,通过数字摘要来验证用户的身份,相较于基本认证(Basic Authentication)使用用户名密码的方式,提供了更高的安全性和灵活性。在 Digest 认证中,不会直接发送密码,而是发送摘要信息,这样即使在非安全的通道上也不会因被截获数据而泄露密码。

Digest Access Authentication 认证的原理

Digest Access Authentication 认证使用一种挑战-响应机制来进行身份验证。当用户尝试访问受保护的资源时,服务器会向客户端发送一个挑战(challenge),要求客户端提供有效的身份验证信息。客户端收到挑战后,使用用户的凭证和约定的摘要算法生成摘要信息。客户端将摘要信息随请求内容发送给服务器,服务器使用相同的密钥对响应进行验证。Digest 认证的流程通常如下:

  1. 客户端请求: 客户端发起请求到服务器。
  2. 服务器返回一个认证挑战,返回 401 Unauthorized 状态码及 WWW-Authenticate 头,其中包含认证类型("Digest")、随机生成的 nonce 值以及其他必要参数如 realm 等。WWW-Authenticate 的值示例如下:
Digest realm="myrealm", qop="auth", nonce="unique-nonce", opaque="0000000000000000"
  1. 客户端响应: 客户端收到对应的相应信息后,使用用户名、密码、nonce、请求方法、请求的 URI 和其他参数计算一个摘要,并将其与认证请求一起发送给服务器。header 中 Authorization 的值示例如下:
Digest username="user1", realm="myrealm", nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", uri="/protected", qop=auth, nc=00000001, cnonce="0a4f113b", response="dd51a70556e6a3342945ef0feac79afb", opaque=""
  1. 服务器验证: 服务器使用存储的密码和客户端发送的参数计算摘要,如果与客户端发送的摘要匹配,则认证成功。

Digest Access Authentication 认证的安全性

Digest Access Authentication 认证方式与 Basic Authentication 认证方式相比安全更高,因为:

  • 不会发送明文密码。
  • 可以使用随机数防止重放攻击。
  • 可以结合使用质询/响应机制进一步提高安全性。

但是 Digest Access Authentication 认证并方式不是完全安全的,依然存在以下缺陷:

  • 如果摘要数据被攻击者截获,密码可能会被离线破解。
  • 不提供消息完整性和机密性保护,因此最好与 HTTPS 结合使用。

使用 Golang 实现 Digest Access Authentication

服务端简单示例代码如下:

package main

import (
	"crypto/md5"
	"fmt"
	"io"
	"net/http"
	"strings"
)

const (
  // 为了举例的目的,暂时先写死,实际编码中不要写死
	Realm    = "myrealm"
	QOP      = "auth"
	Nonce    = "dcd98b7102dd2f0e8b11d0f600bfb0c093"
	Opaque   = "5ccc069c403ebaf9f0171e9517f40e41"
	User     = "user1"
	Password = "mypassword"
)

func computeMD5Hash(text string) string {
	hasher := md5.New()
	io.WriteString(hasher, text)
	return fmt.Sprintf("%x", hasher.Sum(nil))
}

func parseAuthorizationHeader(header string) (username, realm, nonce, uri, qop, nc, cnonce, response string) {
	fields := strings.Split(header[6:], ", ")
	parts := make(map[string]string)
	for _, field := range fields {
		pair := strings.SplitN(field, "=", 2)
		if len(pair) == 2 {
			fmt.Println(strings.TrimSpace(pair[0]))
			parts[strings.TrimSpace(pair[0])] = strings.Trim(pair[1], `"`)
		}
	}
	return parts["username"], parts["realm"], parts["nonce"], parts["uri"], parts["qop"], parts["nc"], parts["cnonce"], parts["response"]
}

func checkAuth(r *http.Request) bool {
	authHeader := r.Header.Get("Authorization")
	if authHeader == "" {
		return false
	}
	username, realm, nonce, uri, qop, nc, cnonce, response := parseAuthorizationHeader(authHeader)
	// HA1 = MD5(username:realm:password)
	HA1 := computeMD5Hash(fmt.Sprintf("%s:%s:%s", username, realm, Password))
	// HA2 = MD5(method:digestURI)
	HA2 := computeMD5Hash(fmt.Sprintf("%s:%s", r.Method, uri))
	// response = MD5(HA1:nonce:nonceCount:cnonce:qop:HA2)
	validResponse := computeMD5Hash(fmt.Sprintf("%s:%s:%s:%s:%s:%s", HA1, nonce, nc, cnonce, qop, HA2))
	return response == validResponse
}

func protectedHandler(w http.ResponseWriter, r *http.Request) {
	if checkAuth(r) {
		w.Write([]byte("You're in the protected area"))
	} else {
		w.Header().Set("WWW-Authenticate", fmt.Sprintf(`Digest realm="%s", qop="%s", nonce="%s", opaque="%s"`, Realm, QOP, Nonce, Opaque))
		w.WriteHeader(http.StatusUnauthorized)
		w.Write([]byte("401 Unauthorized\n"))
	}
}

func main() {
	http.HandleFunc("/protected", protectedHandler)
	http.ListenAndServe(":8080", nil)
}

使用 Golang 模拟客户端代码如下:

package main

import (
    "crypto/md5"
    "fmt"
    "io"
    "net/http"
)

const (
    Username = "user1"
    Password = "mypassword"
    Realm    = "myrealm"
    Nonce    = "dcd98b7102dd2f0e8b11d0f600bfb0c093"
    NC       = "00000001"
    CNonce   = "0a4f113b"
    QOP      = "auth"
    URI      = "/protected"
    Method   = "GET"
)

func computeMD5Hash(text string) string {
    hasher := md5.New()
    io.WriteString(hasher, text)
    return fmt.Sprintf("%x", hasher.Sum(nil))
}

func createDigestAuthorizationHeader() string {
    // HA1 = MD5(username:realm:password)
    HA1 := computeMD5Hash(fmt.Sprintf("%s:%s:%s", Username, Realm, Password))
    // HA2 = MD5(method:URI)
    HA2 := computeMD5Hash(fmt.Sprintf("%s:%s", Method, URI))
    // response = MD5(HA1:nonce:NC:cnonce:qop:HA2)
    response := computeMD5Hash(fmt.Sprintf("%s:%s:%s:%s:%s:%s", HA1, Nonce, NC, CNonce, QOP, HA2))

    return fmt.Sprintf(`Digest username="%s", realm="%s", nonce="%s", uri="%s", qop=%s, nc=%s, cnonce="%s", response="%s", opaque=""`,
       Username, Realm, Nonce, URI, QOP, NC, CNonce, response)
}

func main() {
    client := &http.Client{}

    req, err := http.NewRequest(Method, "http://localhost:8080"+URI, nil)
    if err != nil {
       panic(err)
    }

    fmt.Println(createDigestAuthorizationHeader())

    req.Header.Set("Authorization", createDigestAuthorizationHeader())

    resp, err := client.Do(req)
    if err != nil {
       panic(err)
    }
    defer resp.Body.Close()

    if resp.StatusCode == http.StatusOK {
       fmt.Println("Successfully authenticated.")
    } else {
       fmt.Println("Failed to authenticate.")
    }
}

先运行服务端代码,在运行客户端代码可以发现验证成功。

使用建议

Digest Access Authentication 认证方式相比 Basic Authentication 认证方式的安全性有一定的增强,但也不建议使用。如果非要使用的话,仅限于以下几种对安全要求不是特别高的场景:

  • 简单的内部应用:如果你正在开发一个只有少数用户使用的内部工具,而这些用户都是可信的,那么 Basic Authentication 可以作为一个简单的解决方案。
  • 快速原型开发:在初期的开发阶段,当需要快速实现认证机制的时候,Basic Authentication 可以作为一种临时措施。
  • 服务端之间的通信:当两个服务端之间需要进行简单的身份验证时,可以使用 Basic Authentication,最好是双方都处于安全的内部网络中。
  • 对于安全性要求不太高的系统,但又想要比基本认证更安全的场景

如果真的采用了 Digest Access Authentication 认证方式,可以考虑添加如下增强措施:

  • 配置服务器支持 HTTPS,提供安全的通信环境。
  • 使用强随机数生成算法来生成 nonce 值,保证 nonce 的随机性。

小结

Digest Access authentication 作为一种安全认证机制,可以有效地提高 Web 应用的安全性。相较于 Basic Authentication 认证方式,虽然安全性有所提高,但实际的安全性依然比较低,仅适用于那些对安全要求不是特别高的场景。文章来源地址https://www.toymoban.com/news/detail-789458.html

到了这里,关于HTTP API 认证技术详解(二):Digest Access Authentication的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • HTTP通讯安全中的Digest摘要认证释义与实现

    出于安全考虑,HTTP规范定义了几种认证方式以对访问者身份进行鉴权,最常见的认证方式之一是Digest认证         HTTP通讯采用人类可阅读的文本格式进行数据通讯,其内容非常容易被解读。出于安全考虑,HTTP规范定义了几种认证方式以对访问者身份进行鉴权,最常见的

    2024年02月06日
    浏览(42)
  • Java【算法 04】HTTP的认证方式之DIGEST认证详细流程说明及举例

    详细的说明文档:WWW-Authenticate - HTTP | MDN (mozilla.org) 摘要认证(Digest Authentication)是一种用于在网络通信中验证用户身份的认证方法。它主要应用于HTTP和其他应用层协议中。 Digest认证相对于基本认证更加安全,因为它不直接传输明文密码。但它也不是完全的安全解决方案,因

    2024年02月13日
    浏览(42)
  • http协议之digest(摘要)认证,详细讲解并附Java SpringBoot源码

    目录 1.digest认证是什么? 2.digest认证过程 3.digest认证参数详解 4.基于SpringBoot实现digest认证 5.digest认证演示 6.digest认证完整项目 7.参考博客         HTTP通讯采用人类可阅读的文本格式进行数据通讯,其内容非常容易被解读。出于安全考虑,HTTP规范定义了几种认证方式以对访问

    2023年04月18日
    浏览(41)
  • JAVA实现postman中的digest认证请求

    2024年02月14日
    浏览(41)
  • 解决跨域报错:Access to XMLHttpRequest at ‘http://110.40.173.100:5173/api/user/login‘ from origin ‘http://1

    前言: 最近在完成一个项目的时候,在发送请求的时候,浏览器报错: Access to XMLHttpRequest at \\\'http://110.40.173.100:5173/api/user/login\\\' from origin \\\'http://127.0.0.1:5173\\\' has been blocked by CORS policy: Response to preflight request doesn\\\'t pass access control check: No \\\'Access-Control-Allow-Origin\\\' header is present on the r

    2024年04月15日
    浏览(75)
  • 网络通信安全的坚固防线双向认证技术详解

    目录 什么是双向认证 双向认证的工作原理 双向认证的实现方式 双向认证的重要性 双向认证的挑战 安全最佳实践 小结 双向认证,又称为双向身份验证或双向鉴别,是一种在通信双方之间建立信任关系的安全机制。在通信过程中,两个实体需要进行双向的身份认证,具体来

    2024年02月04日
    浏览(56)
  • HTTP详解篇一(缓存技术与特性)

    目录 HTTP缓存技术 强制缓存 强制缓存具体实现流程如下: 协商缓存 两种头部实现协商缓存 为什么 ETag 的优先级更高? 当使用 ETag 字段实现的协商缓存的过程: HTTP特性 HTTP1.1优点 HTTP1.1缺点 HTTP1.1性能 1.长连接 2.管道网络传输 3.队头阻塞 对于有重复性的HTTP请求,每次得到的

    2024年02月16日
    浏览(48)
  • 《开放平台鉴权方式详解:OAuth 2.0、API Key、HTTP Basic Authentication》

    当今开放平台已经成为了很多应用程序的核心,如何在保证用户数据安全的前提下,为第三方应用程序提供必要的数据访问权限,是开放平台鉴权方式设计的关键问题之一。本文将从 OAuth 2.0 、 API Key 和 HTTP Basic Authentication 三个方面来介绍开放平台主要鉴权方式。 之前写过一

    2024年02月10日
    浏览(35)
  • 义乌购关键字搜索API接口技术详解与代码示例

    义乌购搜索API接口技术详解与代码示例 在电子商务蓬勃发展的今天,义乌购作为国内知名的批发市场平台,为广大商家和消费者提供了丰富的商品资源。为了方便开发者快速接入义乌购平台,实现商品信息的搜索与获取,义乌购开放了搜索API接口。本文将详细介

    2024年03月17日
    浏览(58)
  • 【GitLab】-HTTP Basic: Access denied.remote:You must use a personal access token

      本文简要说明GitLab配置 accessToken 以及 双因子认证(Two-factor authentication) 。   在使用账号和密码的方式拉取公司GitLab代码时,遇到了以下问题HTTP Basic: Access denied. The provided password or token is incorrect or your account has 2FA enabled and you must use a personal access token instead of password

    2024年02月15日
    浏览(53)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包