上一篇介紹的基本認(rèn)證便捷靈活,但極不安全。用戶名和密碼都是以明文形式傳送的,也沒有采取任何措施防止對報文的篡改。安全使用基本認(rèn)證的唯一方式就是將其與SSL配合使用

  摘要認(rèn)證與基本認(rèn)證兼容,但卻更為安全。本文將詳細(xì)介紹紹摘要認(rèn)證的原理和實際應(yīng)用

 

工作原理

  摘要認(rèn)證是另一種HTTP認(rèn)證協(xié)議,它試圖修復(fù)基本認(rèn)證協(xié)議的嚴(yán)重缺陷。具體來說,摘要認(rèn)證進(jìn)行了如下改進(jìn):永遠(yuǎn)不會以明文方式在網(wǎng)絡(luò)上發(fā)送密碼;可以防止惡意用戶捕獲并重放認(rèn)證的握手過程;可以有選擇地防止對報文內(nèi)容的篡改;防范其他幾種常見的攻擊方式

  摘要認(rèn)證并不是最安全的協(xié)議,并不能滿足安全HTTP事務(wù)的很多需求。對這些需求來說,使用傳輸層安全(Transport Layer Security, TLS)和安全HTTP(Secure HTTP, HTTPS)協(xié)議更為合適一些

網(wǎng)友評論