certificación 1.Basic
El "nombre de usuario + contraseña + de colon" con base64 cadena se coloca en la solicitud de Autorización de cabecera HTTP se envía al servidor, este enfoque se denomina autenticación básica HTTP
Proceso de certificación
Solicitud: El cliente envía una solicitud HTTP al servidor
Pregunta: Debido a que la solicitud no incluye el encabezado de autorización, el servidor devuelve un 401 rechaza la solicitud (básica: la necesidad de autenticación básica, reino: explica las necesidades del cliente para introducir un nombre de usuario y una contraseña para la zona de seguridad)
Autorización: El programa cliente realiza una solicitud, esta vez se sumará autorización heade, para explicar algoritmo de autenticación, el nombre de usuario y contraseña (porque el nombre de usuario y contraseña se obtienen Base64 codificado, encriptado y no es visible base 64, equivalentes pueden ser decodificados inversa en texto plano, por lo que la transmisión de información de autenticación básica es inseguro)
Éxito: Si el certificado de autoridad adecuado, el servidor devolverá 200
2. Los pros y contras
Ventajas: sencilla, un amplio apoyo
Desventajas: no seguros
3.TextWizard
Fiddler propia herramienta se puede utilizar para codificar y decodificar
4. La autenticación implícita ( la autenticación implícita )
Recopilación de autenticación es un protocolo de autenticación básica para corregir los defectos graves en el diseño, la adhesión a las "contraseñas nunca envían en texto sin cifrar a través de la red" principio, autenticadas por "contraseña de digerir", lo que mejora la seguridad.
Mejora: Nunca envíe contraseñas en texto claro por la red; puede prevenir con eficacia un usuario malicioso para reproducir ataque, puede impedir de forma selectiva la manipulación de los contenidos del mensaje
proceso
Solicitud: El cliente envía una solicitud HTTP al servidor
Desafío: El servidor devuelve un 401 rechaza la petición (el servidor nonce genera un número aleatorio, el número aleatorio en la cabecera de la respuesta del servidor WWW-Autenticar, se envía al cliente con una lista del algoritmo de autenticación, el dominio de autenticación del servidor de soporte reino)
valor reino es una cadena simple
modo qop está certificada (control)
nonce es un número aleatorio, se puede utilizar GUID
opaca es una cadena aleatoria, que sólo tiene que pasar a través de él, que el cliente regresará como vino.
algoritmo es una cadena que indica la clasificación y para generar un algoritmo de control Si el
Autorización: El programa cliente realiza una solicitud, el cliente selecciona un algoritmo para calcular la contraseña y otros datos (Respuesta), el resumen que el servidor en el encabezado de la solicitud de autorización de digerir, si el cliente puede autenticarse en el servidor, el se puede enviar un nonce cliente
Éxito: Si el certificado de autoridad adecuado, el servidor devolverá 200
