Spring Security 之摘要认证

摘要认证

注意:

在现代应用程序中不应该使用摘要认证,因为它不被认为是安全的。最明显的问题是你必须以明文或加密或 MD5 格式存储密码。所有这些存储格式都被认为是不安全的。相反,你应该使用单向自适应密码哈希(如 bCrypt、PBKDF2、SCrypt 等)来存储凭据,而这是摘要认证不支持的。

摘要认证试图解决基本认证的许多弱点,特别是确保凭据永远不会以明文形式通过网络传输。许多浏览器支持摘要认证。

HTTP摘要认证的标准由RFC 2617定义,它更新了由RFC 2069规定的早期版本的摘要认证标准。大多数用户代理实现了RFC 2617。Spring Security对摘要认证的支持与RFC 2617规定的“auth”质量保护(qop)兼容,并提供了与RFC 2069的向后兼容性。如果需要使用未加密的HTTP(无TLS或HTTPS)并希望最大程度地提高认证过程的安全性,摘要认证被视为更有吸引力的选项。然而,每个人都应该使用HTTPS。

摘要认证的核心是“nonce”(一次性随机数)。这是服务器生成的一个值。Spring Security的nonce采用以下格式:

base64(expirationTime + "

你可能感兴趣的:(Spring,Security,spring,java,后端)