通过这个文献,给需要实现HTTP AUTH的“程序猴子”们。
关于HTTP AUTH的文档不多。
RFC位于http://www.IETF.org/RFC/RFC 2617.txt
wiki为http://en.Wikipedia.org/wiki/basic _ access _ authentic ation
要使用HTTP AUTH,必须在服务器端配置HTTP AUTH信息。 通常,启动web服务器时需要从配置文件中读取相关信息。 用中文简单说明http auth的过程:
客户端发送http请求的服务器将发现配置了http auth,并检查请求中是否有" authorization " http header
如果是,请确定用户列表中是否存在授权内容。 授权头的典型数据是'授权: Basic jdhaHY0=',其中basic表示基础身份验证,jdhahy0=如果未使用base64编码,或者用户返回到http code 401页并在客户端上的标准http浏览器中接收到401页后,必须打开一个对话框,以便用户输入帐户密码。 当用户要求确认时,它会再次发送请求,并附带授权头
典型的访问场景如下
浏览器发送http请求(无Authorization header )服务器端返回401页,浏览器显示认证对话框,用户输入账户密码,浏览器再次发出http请求)
在使用http auth的情况下不使用cookie。 也就是说,每次都发送账户密码信息。 而且,我们知道base64代码基本上是很好的明文。 这削弱了安全。
由于存在种种缺点,http auth目前很少使用。 但是,在路由器等方面还有应用。 因为http auth是最简单的,使用成本几乎为零。
如果需要控制访问,但不希望拖着SSO、数据库等,则http auth是一个简单的选项。
转载于:https://www.cn blogs.com/hehe 520/archive/2012/02/13/6330395.html