HTTP Basic 认证

HTTP Basic 认证

Basic 认证是 Web 服务器于客户端之间进行认证的一种方式, 最初是在HTTP 1.0 规范(RFC 1945)中定义,后续的有关安全的信息可以在HTTP 1.1规范(RFC 2616)和HTTP认证规范(RFC 2617)中找到。

Basic 认证过程

当客户端请求了需要进行 Basic 认证的资源,服务器就会返回带有 401 unauthorized 状态码以及 WWW-Authenticate 首部字段的响应。WWW-Authenticate 内容包含了认证方式(Basic)及 Request-URI 安全域字符串(realm)。

HTTP/1.1 401 Unauthorized
WWW-Authenticate: Basic realm="My realm"

客户端收到 401 状态码并要求进行 Basic 认证后,就需要用户 ID 和密码发送给服务器,发送的字符串内容是由用户 ID 和密码通过冒号(:)连接后,再经过 Base64 进行编码处理得到。然后把这个字符串写入 Authorization 首部字段,并发送请求。

客户端是浏览器的情况下,这个阶段会弹出对话框,要求输入用户 ID 和密码,确定后就会自动完成编码发送请求。

GET /index.html HTTP/1.1
Host: localhost
Authorization: Basic aGFyYm9yOmhhcmJvcg==

服务器接收到包含 Authorization 字段的请求后,会对其正确性进行验证。如验证通过,则返回一条包含 Request-URI 资源的响应。

Basic 认证优点

在假定客户端和服务器之间的连接安全的情况下,通过Basic 认证来实现身份认证非常简单,只需要对Web服务器(比如Apache、NGINX)简单的配置即可轻松实现。客户端如果是浏览器,也无需做什么处理。

Basic 认证缺点

Basic 采用了 Base64 编码处理,但这并非加密处理,可以轻易地进行解码。在没有进行加密的 HTTP 通信中使用 Basic 认证,可以轻易被窃听而得到认证的用户 ID 和密码。

在Basic 认证过后,只能通过关闭浏览器进行认证注销操作,这样切换用户时就会比较麻烦。

你可能感兴趣的:(HTTP)