首先,摘要认证并不是最安全的认证。摘要认证并不能满足安全HTTP事务的很多需求。对这些需求来说,使用传输层安全(Transport Layer Security,TLS)和HTTPS 协议更为合适一些。
摘要认证遵循的协议箴言就是“绝不通过网络发送密码”。客户端不会发送密码,而是会发送一个“指纹”或密码的摘要,这是密码的不可逆扰码。客户端和服务器都知道这个密码,因此服务器可以验证所提供的摘要是否与密码相匹配。
摘要认证的握手机制
①服务器计算出一个随机数,这里随机数的作用就是防止重放攻击;
②服务器将这个随机数放在WWW-Authenticate质询报文中,与服务器所支持的算法列表一同发往客户端;
③客户端选择一个算法,计算出密码和其他数据的摘要;
④将摘要放在一条Authorization报文中发回服务器,如果客户端要对服务器进行认证,可以发送客户端随机数;
⑤服务器接受摘要、选中的算法以及支撑数据,对摘要进行认证[产生rspauth摘要][产生下一个随机数];
⑥服务器发送下一个随机数,[发送客户端repauth摘要];
⑦客户端验证repauth摘要。