Qt http 的认证方式以及简单实现

http 的认证方式

1. 基本认证（Basic Authentication）:
   • 基本认证是最简单的HTTP认证方式。客户端在请求头中使用Base64编码的用户名和密码进行身份验证
   • 由于仅使用Base64编码，基本认证并不安全，因此建议与HTTPS一起使用，以加密传输

具体详细讲解:https://www.cnblogs.com/xy-ouyang/p/12600055.html
https://datatracker.ietf.org/doc/html/rfc7617

2. 摘要认证（Digest Authentication）:
   • 摘要认证是比基本认证更安全的一种方式。它通过在服务器和客户端之间交换摘要值来进行身份验证。
   • 客户端发送请求后，服务器返回一个随机值（称为nonce），客户端使用用户名、密码、nonce和其他信息计算出一个哈希值，然后将其发送到服务器进行验证。
   • 摘要认证提供了更好的保护，防止密码在传输过程中被窃取，但仍然需要注意保护nonce的安全性。

具体详细讲解:https://datatracker.ietf.org/doc/html/rfc7616

3. Bearer Token认证:
   • Bearer Token认证是一种常用于OAuth 2.0和单点登录（SSO）系统的方式。客户端在请求头中发送一个令牌（token）来进行身份验证。
   • 令牌通常在登录后由服务器分发，客户端需要将令牌存储起来，然后在每次请求中发送给服务器进行验证。
   • Bearer Token认证可以是无状态的，但也需要保护令牌的安全性，避免泄露。

具体详细讲解: https://datatracker.ietf.org/doc/html/rfc6750#section-3

4. 客户端证书认证:
   • 客户端证书认证是一种高度安全的方式，客户端在请求中使用证书进行身份验证。
   • 客户端需要事先获取一个证书，服务器会验证该证书的有效性和授权。
   • 这种方式适用于需要高级别的安全性保护的场景，如金融、医疗等领域。

代码实现方式：

项目中使用的几种实现方式:

1. 基本认证（Basic Authentication）:

std::tuple<QByteArray, QString, int> Http::Post(const QString &url, const QByteArray &array_data)
{
    qDebug()<<array_data<<url;
    QNetworkReply *Net_Reply;
    QNetworkAccessManager Net_Manage;
    QNetworkRequest Net_Request;
    QSslConfiguration conf = Net_Request.sslConfiguration();
   //"Basic dGVzdDoxMjPCow==" == "Basic" + " " + base64("用户名:密码")
    Net_Request.setRawHeader("Authorization","Basic dGVzdDoxMjPCow==");
    Net_Request.setUrl(url);

    QEventLoop Loop;
    Net_Reply = Net_Manage.post(Net_Request,array_data);
    connect(Net_Reply,SIGNAL(finished()),&Loop,SLOT(quit()));
    connect(Net_Reply,SIGNAL(error(QNetworkReply::NetworkError)),&Loop,SLOT(quit()));
    Loop.exec();

    QByteArray array = Net_Reply->readAll();
    qDebug()<<array;
    qDebug()<<Net_Reply->errorString();
    Net_Reply->deleteLater();

    return std::make_tuple(array,Net_Reply->errorString(),int(Net_Reply->error()));
}

2. 摘要认证（Digest Authentication）:

      std::tuple<QByteArray, QString, int> Http::Post(const QString &url, const QByteArray &body_data)
{
    qDebug()<<array_data<<url;
    QNetworkReply *Net_Reply;
    QNetworkAccessManager Net_Manage;
    QNetworkRequest Net_Request;
   // "Digest XXXXX" == "Digest" + " " + "加密内容"
   // 具体看双方协商怎末对内容加密
   // 可能： 客户端生成 nonce 随机数， 以及服务端返会的slat
   // key = MD5(nonce + slat)
   // content = hamc(body_data, key) 
    Net_Request.setRawHeader("Authorization","Digest content");
   Net_Request.setRawHeader("nonce","XXXXXXXXXXXX")
    Net_Request.setUrl(url);

    QEventLoop Loop;
    Net_Reply = Net_Manage.post(Net_Request,body_data);
    connect(Net_Reply,SIGNAL(finished()),&Loop,SLOT(quit()));
    connect(Net_Reply,SIGNAL(error(QNetworkReply::NetworkError)),&Loop,SLOT(quit()));
    Loop.exec();

    QByteArray array = Net_Reply->readAll();
    qDebug()<<array;
    qDebug()<<Net_Reply->errorString();
    Net_Reply->deleteLater();

    return std::make_tuple(array,Net_Reply->errorString(),int(Net_Reply->error()));
}

4. Bearer Token认证:

std::tuple<QByteArray, QString, int> Http::Post(const QString &url, const QByteArray &array_data)
{
    qDebug()<<array_data<<url;
    QNetworkReply *Net_Reply;
    QNetworkAccessManager Net_Manage;
    QNetworkRequest Net_Request;
   // "Bearer mF_9.B5f-4.1JqM" == "Bearer" + " " + Token
   // 具体看实际需求，有可能鉴权既有token 也有 摘要
    Net_Request.setRawHeader("Authorization","Bearer mF_9.B5f-4.1JqM");
    Net_Request.setUrl(url);

    QEventLoop Loop;
    Net_Reply = Net_Manage.post(Net_Request,array_data);
    connect(Net_Reply,SIGNAL(finished()),&Loop,SLOT(quit()));
    connect(Net_Reply,SIGNAL(error(QNetworkReply::NetworkError)),&Loop,SLOT(quit()));
    Loop.exec();

    QByteArray array = Net_Reply->readAll();
    qDebug()<<array;
    qDebug()<<Net_Reply->errorString();
    Net_Reply->deleteLater();

    return std::make_tuple(array,Net_Reply->errorString(),int(Net_Reply->error()));
}

WWW-Authenticate 和 Authenticate 的介绍

`WWW-Authenticate` 和 `Authenticate` 是两个与HTTP认证相关的HTTP头部字段，用于客户端和服务器之间交换身份验证信息。它们的区别在于使用的上下文和位置。

两者区别：

1. WWW-Authenticate：

   • WWW-Authenticate 是服务器在HTTP响应中使用的头部字段。当客户端请求受保护的资源但未提供有效的身份验证信息时，服务器会返回一个"401 Unauthorized"响应，并在响应头中添加 WWW-Authenticate 字段，以提示客户端进行合适的身份验证。

   • 服务器使用 WWW-Authenticate 来指示客户端应该使用哪种认证方式（如基本认证、摘要认证等）来验证其身份。

2. Authenticate：

   • Authenticate 是客户端在HTTP请求中使用的头部字段。客户端在请求中包含 Authenticate 字段来提供身份验证凭据，以验证其身份并请求访问受保护的资源。
   • 这是客户端在发起身份验证请求时使用的字段，通常与请求中的身份验证方式（如基本认证、Bearer Token等）一起发送。

使用场景：

• WWW-Authenticate 在服务器响应中使用，通常是在用户尝试访问受保护资源时，服务器要求客户端进行身份验证的情况下。客户端会根据这个头部字段指示的认证方式提供相应的凭据。

• Authenticate 在客户端请求中使用，当客户端向服务器发送请求时，它可能会在请求头中包含 Authenticate 字段，以根据服务器的要求提供相应的身份验证凭据。

总结来说，WWW-Authenticate 是服务器告知客户端应该如何进行身份验证的方式，而 Authenticate 是客户端在请求中提供身份验证凭据的方式。它们一起协同工作，确保通信双方能够进行有效的身份验证并访问受保护的资源。