HTTP API 认证技术详解(二):Digest Access Authentication

2024-01-14 21:52

本文主要是介绍HTTP API 认证技术详解(二):Digest Access Authentication,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

什么是 Digest Access Authentication 认证

Digest Access Authentication 认证的原理

Digest Access Authentication 认证的安全性

使用 Golang 实现 Digest Access Authentication

使用建议

小结


HTTP API 认证技术主要用于验证客户端身份,并确保只有经过授权的实体才能访问受保护的资源。随着安全需求的日益增长,API 认证技术也在不断发展和演进。本文将详细讲解 Digest Access Authentication 认证技术。

什么是 Digest Access Authentication 认证

Digest Access Authentication 是一种基于 HTTP 协议的身份验证机制,通过数字摘要来验证用户的身份,相较于基本认证(Basic Authentication)使用用户名密码的方式,提供了更高的安全性和灵活性。在 Digest 认证中,不会直接发送密码,而是发送摘要信息,这样即使在非安全的通道上也不会因被截获数据而泄露密码。

Digest Access Authentication 认证的原理

Digest Access Authentication 认证使用一种挑战-响应机制来进行身份验证。当用户尝试访问受保护的资源时,服务器会向客户端发送一个挑战(challenge),要求客户端提供有效的身份验证信息。客户端收到挑战后,使用用户的凭证和约定的摘要算法生成摘要信息。客户端将摘要信息随请求内容发送给服务器,服务器使用相同的密钥对响应进行验证。Digest 认证的流程通常如下:

  1. 客户端请求: 客户端发起请求到服务器。
  2. 服务器返回一个认证挑战,返回 401 Unauthorized 状态码及 WWW-Authenticate 头,其中包含认证类型("Digest")、随机生成的 nonce 值以及其他必要参数如 realm 等。WWW-Authenticate 的值示例如下:
Digest realm="myrealm", qop="auth", nonce="unique-nonce", opaque="0000000000000000"
  1. 客户端响应: 客户端收到对应的相应信息后,使用用户名、密码、nonce、请求方法、请求的 URI 和其他参数计算一个摘要,并将其与认证请求一起发送给服务器。header 中 Authorization 的值示例如下:
Digest username="user1", realm="myrealm", nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", uri="/protected", qop=auth, nc=00000001, cnonce="0a4f113b", response="dd51a70556e6a3342945ef0feac79afb", opaque=""
  1. 服务器验证: 服务器使用存储的密码和客户端发送的参数计算摘要,如果与客户端发送的摘要匹配,则认证成功。

Digest Access Authentication 认证的安全性

Digest Access Authentication 认证方式与 Basic Authentication 认证方式相比安全更高,因为:

  • 不会发送明文密码。
  • 可以使用随机数防止重放攻击。
  • 可以结合使用质询/响应机制进一步提高安全性。

但是 Digest Access Authentication 认证并方式不是完全安全的,依然存在以下缺陷:

  • 如果摘要数据被攻击者截获,密码可能会被离线破解。
  • 不提供消息完整性和机密性保护,因此最好与 HTTPS 结合使用。

使用 Golang 实现 Digest Access Authentication

服务端简单示例代码如下:

package mainimport ("crypto/md5""fmt""io""net/http""strings"
)const (// 为了举例的目的,暂时先写死,实际编码中不要写死Realm    = "myrealm"QOP      = "auth"Nonce    = "dcd98b7102dd2f0e8b11d0f600bfb0c093"Opaque   = "5ccc069c403ebaf9f0171e9517f40e41"User     = "user1"Password = "mypassword"
)func computeMD5Hash(text string) string {hasher := md5.New()io.WriteString(hasher, text)return fmt.Sprintf("%x", hasher.Sum(nil))
}func parseAuthorizationHeader(header string) (username, realm, nonce, uri, qop, nc, cnonce, response string) {fields := strings.Split(header[6:], ", ")parts := make(map[string]string)for _, field := range fields {pair := strings.SplitN(field, "=", 2)if len(pair) == 2 {fmt.Println(strings.TrimSpace(pair[0]))parts[strings.TrimSpace(pair[0])] = strings.Trim(pair[1], `"`)}}return parts["username"], parts["realm"], parts["nonce"], parts["uri"], parts["qop"], parts["nc"], parts["cnonce"], parts["response"]
}func checkAuth(r *http.Request) bool {authHeader := r.Header.Get("Authorization")if authHeader == "" {return false}username, realm, nonce, uri, qop, nc, cnonce, response := parseAuthorizationHeader(authHeader)// HA1 = MD5(username:realm:password)HA1 := computeMD5Hash(fmt.Sprintf("%s:%s:%s", username, realm, Password))// HA2 = MD5(method:digestURI)HA2 := computeMD5Hash(fmt.Sprintf("%s:%s", r.Method, uri))// response = MD5(HA1:nonce:nonceCount:cnonce:qop:HA2)validResponse := computeMD5Hash(fmt.Sprintf("%s:%s:%s:%s:%s:%s", HA1, nonce, nc, cnonce, qop, HA2))return response == validResponse
}func protectedHandler(w http.ResponseWriter, r *http.Request) {if checkAuth(r) {w.Write([]byte("You're in the protected area"))} else {w.Header().Set("WWW-Authenticate", fmt.Sprintf(`Digest realm="%s", qop="%s", nonce="%s", opaque="%s"`, Realm, QOP, Nonce, Opaque))w.WriteHeader(http.StatusUnauthorized)w.Write([]byte("401 Unauthorized\n"))}
}func main() {http.HandleFunc("/protected", protectedHandler)http.ListenAndServe(":8080", nil)
}

使用 Golang 模拟客户端代码如下:

package mainimport ("crypto/md5""fmt""io""net/http"
)const (Username = "user1"Password = "mypassword"Realm    = "myrealm"Nonce    = "dcd98b7102dd2f0e8b11d0f600bfb0c093"NC       = "00000001"CNonce   = "0a4f113b"QOP      = "auth"URI      = "/protected"Method   = "GET"
)func computeMD5Hash(text string) string {hasher := md5.New()io.WriteString(hasher, text)return fmt.Sprintf("%x", hasher.Sum(nil))
}func createDigestAuthorizationHeader() string {// HA1 = MD5(username:realm:password)HA1 := computeMD5Hash(fmt.Sprintf("%s:%s:%s", Username, Realm, Password))// HA2 = MD5(method:URI)HA2 := computeMD5Hash(fmt.Sprintf("%s:%s", Method, URI))// response = MD5(HA1:nonce:NC:cnonce:qop:HA2)response := computeMD5Hash(fmt.Sprintf("%s:%s:%s:%s:%s:%s", HA1, Nonce, NC, CNonce, QOP, HA2))return fmt.Sprintf(`Digest username="%s", realm="%s", nonce="%s", uri="%s", qop=%s, nc=%s, cnonce="%s", response="%s", opaque=""`,Username, Realm, Nonce, URI, QOP, NC, CNonce, response)
}func main() {client := &http.Client{}req, err := http.NewRequest(Method, "http://localhost:8080"+URI, nil)if err != nil {panic(err)}fmt.Println(createDigestAuthorizationHeader())req.Header.Set("Authorization", createDigestAuthorizationHeader())resp, err := client.Do(req)if err != nil {panic(err)}defer resp.Body.Close()if resp.StatusCode == http.StatusOK {fmt.Println("Successfully authenticated.")} else {fmt.Println("Failed to authenticate.")}
}

先运行服务端代码,在运行客户端代码可以发现验证成功。

使用建议

Digest Access Authentication 认证方式相比 Basic Authentication 认证方式的安全性有一定的增强,但也不建议使用。如果非要使用的话,仅限于以下几种对安全要求不是特别高的场景:

  • 简单的内部应用:如果你正在开发一个只有少数用户使用的内部工具,而这些用户都是可信的,那么 Basic Authentication 可以作为一个简单的解决方案。
  • 快速原型开发:在初期的开发阶段,当需要快速实现认证机制的时候,Basic Authentication 可以作为一种临时措施。
  • 服务端之间的通信:当两个服务端之间需要进行简单的身份验证时,可以使用 Basic Authentication,最好是双方都处于安全的内部网络中。
  • 对于安全性要求不太高的系统,但又想要比基本认证更安全的场景

如果真的采用了 Digest Access Authentication 认证方式,可以考虑添加如下增强措施:

  • 配置服务器支持 HTTPS,提供安全的通信环境。
  • 使用强随机数生成算法来生成 nonce 值,保证 nonce 的随机性。

小结

Digest Access authentication 作为一种安全认证机制,可以有效地提高 Web 应用的安全性。相较于 Basic Authentication 认证方式,虽然安全性有所提高,但实际的安全性依然比较低,仅适用于那些对安全要求不是特别高的场景。

这篇关于HTTP API 认证技术详解(二):Digest Access Authentication的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/606647

相关文章

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

OpenHarmony鸿蒙开发( Beta5.0)无感配网详解

1、简介 无感配网是指在设备联网过程中无需输入热点相关账号信息,即可快速实现设备配网,是一种兼顾高效性、可靠性和安全性的配网方式。 2、配网原理 2.1 通信原理 手机和智能设备之间的信息传递,利用特有的NAN协议实现。利用手机和智能设备之间的WiFi 感知订阅、发布能力,实现了数字管家应用和设备之间的发现。在完成设备间的认证和响应后,即可发送相关配网数据。同时还支持与常规Sof

【专题】2024飞行汽车技术全景报告合集PDF分享(附原数据表)

原文链接: https://tecdat.cn/?p=37628 6月16日,小鹏汇天旅航者X2在北京大兴国际机场临空经济区完成首飞,这也是小鹏汇天的产品在京津冀地区进行的首次飞行。小鹏汇天方面还表示,公司准备量产,并计划今年四季度开启预售小鹏汇天分体式飞行汽车,探索分体式飞行汽车城际通勤。阅读原文,获取专题报告合集全文,解锁文末271份飞行汽车相关行业研究报告。 据悉,业内人士对飞行汽车行业

金融业开源技术 术语

金融业开源技术  术语 1  范围 本文件界定了金融业开源技术的常用术语。 本文件适用于金融业中涉及开源技术的相关标准及规范性文件制定和信息沟通等活动。

6.1.数据结构-c/c++堆详解下篇(堆排序,TopK问题)

上篇:6.1.数据结构-c/c++模拟实现堆上篇(向下,上调整算法,建堆,增删数据)-CSDN博客 本章重点 1.使用堆来完成堆排序 2.使用堆解决TopK问题 目录 一.堆排序 1.1 思路 1.2 代码 1.3 简单测试 二.TopK问题 2.1 思路(求最小): 2.2 C语言代码(手写堆) 2.3 C++代码(使用优先级队列 priority_queue)

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

K8S(Kubernetes)开源的容器编排平台安装步骤详解

K8S(Kubernetes)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。以下是K8S容器编排平台的安装步骤、使用方式及特点的概述: 安装步骤: 安装Docker:K8S需要基于Docker来运行容器化应用程序。首先要在所有节点上安装Docker引擎。 安装Kubernetes Master:在集群中选择一台主机作为Master节点,安装K8S的控制平面组件,如AP

【Linux】应用层http协议

一、HTTP协议 1.1 简要介绍一下HTTP        我们在网络的应用层中可以自己定义协议,但是,已经有大佬定义了一些现成的,非常好用的应用层协议,供我们直接使用,HTTP(超文本传输协议)就是其中之一。        在互联网世界中,HTTP(超文本传输协议)是一个至关重要的协议,他定义了客户端(如浏览器)与服务器之间如何进行通信,以交换或者传输超文本(比如HTML文档)。

AI(文生语音)-TTS 技术线路探索学习:从拼接式参数化方法到Tacotron端到端输出

AI(文生语音)-TTS 技术线路探索学习:从拼接式参数化方法到Tacotron端到端输出 在数字化时代,文本到语音(Text-to-Speech, TTS)技术已成为人机交互的关键桥梁,无论是为视障人士提供辅助阅读,还是为智能助手注入声音的灵魂,TTS 技术都扮演着至关重要的角色。从最初的拼接式方法到参数化技术,再到现今的深度学习解决方案,TTS 技术经历了一段长足的进步。这篇文章将带您穿越时