2. 程式人生 > >[轉]asp.net權限認證:摘要認證(digest authentication)

[轉]asp.net權限認證:摘要認證(digest authentication)

阿新 發佈:2017-06-09
imp 2個 端端 不一致 輸入 解析 操作 hash ostc

本文轉自:http://www.cnblogs.com/lanxiaoke/p/6357501.html

摘要認證簡單介紹

摘要認證是對基本認證的改進,即是用摘要代替賬戶密碼,從而防止明文傳輸中賬戶密碼的泄露

之前對摘要認證也不是很熟悉,還得感謝圓中的 parry 貢獻的博文:ASP.NET Web API(三):安全驗證之使用摘要認證(digest authentication)

我是覺得真心不錯,讓我少走很多彎路。這篇文章主要是對上邊引用文章的講解,老司機可以略過。

老規矩,上摘認證的工作流程圖

技術分享

看圖大概可以知道摘要認證的步驟

客戶端請求資源 api/employees

技術分享

後臺認證邏輯,返回401

數據提交後,服務端檢查Headers中的Authorization信息,null值就返回401,提示需要認證,認證格式為Digest,同時返回的還有realm、nonce、qop這幾個參數值

1、realm的值可以隨意;nonce為隨機數,一般是GUID格式的字符串,需要後臺返回;qop的之分布有三種:沒有定義(即空值)、auth、auth-int

2、後臺處理過程:

技術分享

3、返回的報文頭信息是這樣:

HTTP /1.1 401 Unauthorized
WWW-Authenticate:Digest
realm= ”RealmOfBadri”

qop=“auth”
nonce=”75d1c31e6d3b28f100edac595a53cf96”

客戶端授權開始

接受到反饋後,知道資源需要授權才能訪問;於是開始輸入username、password

技術分享

這裏有個地方需要註意,項目默認是賬戶名密碼一致才能驗證通過的,看代碼

技術分享

點擊登錄,查看後臺得到的數據

技術分享

看圖可以知道

realm、qop、nonce是服務器上次生成的值

username是我們輸入的頁面

uri是客戶端要請求的地址

nc、cnonce是客戶端自動生成的值

response是最終要傳送的摘要信息,也是客戶端生成的

是不是發現了什麽不對?密碼去哪了?

其實這就是摘要認證的精髓了,不傳送明文密碼,只傳送摘要信息

有同學可能要問,不傳輸密碼,那服務端如何知道輸入的用戶名稱就是屬於當前操作用戶呢

那接下來就得摘要信息出場了,我們來看看如何生成摘要信息

對(username:realm:password)進行HASH運算,得到HA1

對(方法名:請求的路徑)進行HASH運算,即(GET:http://localhost:32934/api/employees),得到HA2

最終得到摘要信息response = 對(HA1:nonce:nc:cnonce:qop:HA2)進行HASH運算

後臺參數解析

分析完前端,我們看看服務端如何解析這些參數的

其實服務端的工作就是根據客戶端端傳送過來的realm、qop、nonce、username、uri、nc、cnonce進行HASH運行得到新的摘要信息response2

如何用response2與客戶端生成的response進行比較,如果一致,就說明認證通過;不一致,就繼續返回401

主要就是這一段代碼處理

技術分享

因為對於服務端來說HA1:nonce:nc:cnonce:qop:HA2中除了HA1中的password沒有從客戶端得到,其他所有所有參數都得到了

所以摘要認證的核心就是:

對於客戶端:我知道用戶名稱和密碼和(一些認證的約束,即realm、qop、nonce之類),從而得到加密信息response

對於服務端:我知道用戶名稱和(一些認證的約束,即realm、qop、nonce之類),然後根據用戶名稱去數據庫找到用戶的密碼,從而得到加密信息response2

最後比較response:response2,如果客戶端輸入的密碼和數據庫根據用戶名稱查到的密碼一致,就肯定能認證通過。

技術分享

最後需要提醒大家的地方,這個用戶密碼可以跟賬號登錄密碼不一致,可以分成2個字段;你可以理解為:用戶名+認證密碼

因為認證密碼即使是加密的也必須可逆,不然後臺匹配不了

摘要認證測試

web端的摘要認證就是上邊那樣。

但是很多情況客戶端不是通過瀏覽器訪問的資源,比如通過一段程序去訪問 api/employees,

這時候並不存在像瀏覽器彈出認證窗口的交互動作,這時候怎麽搞?

其實也是很簡單的,我們新建控制臺項目 DigestTest

技術分享

然後通過WebClient對象去訪問資源文件

技術分享

最後運行程序,就可以看到返回的數據

技術分享

提示未經授權,因為我們的認證賬戶是錯的,改成1111:1111,再試試

技術分享

OK,完全沒有問題

好了,搞定收工!

asp.net權限認證系列

  1. asp.net權限認證:Forms認證
  2. asp.net權限認證:HTTP基本認證(http basic)
  3. asp.net權限認證:Windows認證
  4. asp.net權限認證:摘要認證(digest authentication)
  5. asp.net權限認證:OWIN實現OAuth 2.0 之客戶端模式(Client Credential)
  6. asp.net權限認證:OWIN實現OAuth 2.0 之密碼模式(Resource Owner Password Credential)
  7. asp.net權限認證:OWIN實現OAuth 2.0 之授權碼模式(Authorization Code)
  8. asp.net權限認證:OWIN實現OAuth 2.0 之簡化模式(Implicit)

分類: 權限認證

[轉]asp.net權限認證:摘要認證(digest authentication)

相關推薦

[]asp.net認證摘要認證(digest authentication)

imp 2個 端端 不一致 輸入 解析 操作 hash ostc 本文轉自:http://www.cnblogs.com/lanxiaoke/p/6357501.html 摘要認證簡單介紹 摘要認證是對基本認證的改進,即是用摘要代替賬戶密碼,從而防止明文傳輸中

[]asp.net認證HTTP基本認證(http basic)

border expr == gets tps ram word tro cred 本文轉自:http://www.cnblogs.com/lanxiaoke/p/6353955.html HTTP基本認證示意圖 HTTP基本認證,即http basic認證。 客

() shiro框架詳解04-shiro認證

software protected .get 打開 net 文件的 apach stc cdc http://blog.csdn.net/facekbook/article/details/54906635 shiro認證 本文介紹shiro的認證功能 認證流程

ASP.NET的路由系統URL與物理文件的分離【

url重寫 -s abi 解析 per data屬性 public oge his 表現為請求地址與目標Controller和Action的動態映射的URL路由系統並不是專屬於ASP.NET MVC,而是直接建立在ASP.NET 中。ASP.NET通過URL路由系統實現了請

ASP.NET Core奇遇記無用戶訪問,CPU卻一直100%

redis ces core default async ima wid 阿裏雲服務器 services 這是5月11日遇到的一個問題,1臺1核1G阿裏雲Linux服務器運行著生產環境中的ASP.NET Core站點,出現CPU 100%問題。 開始以為是這臺服務器負

ASP.NET MVC5 新特性Attribute路由使用詳解

ref 否則 back default static 引入 擁有 bsp pathinfo 1、什麽是Attribute路由?怎麽樣啟用Attribute路由?   微軟在 ASP.NET MVC5 中引入了一種新型路由:Attribute路由,顧名思義,Attribute

[]ASP.NET web API 2 OData enhancements

{0} per yourself res demon services host iss ges 本文轉自:https://www.pluralsight.com/blog/tutorials/asp-net-web-api-2-odata-enhancements Al

)shiro框架詳解05-shiro授權

roles ktr ase sub turn stp exc protected user http://blog.csdn.net/facekbook/article/details/54910606 本文介紹 授權流程 授權方式 授權測試 自定義授權rea

)shiro框架詳解06-shiro與web項目整合(下)

tex web項目 ssd ndis form認證 lec rfi 出身 javadoc http://blog.csdn.net/facekbook/article/details/54962975 shiro和web項目整合,實現類似真實項目的應用 web項目中

()ASP.NET(C#)FileUpload實現上傳限定類型和大小的文件到服務器

web 環境 posted using 結果 ring event run ont 上傳文件有兩個主要的目的地,一個是服務器,另一個是數據庫,ASP.NET內置了FileUpload這個上傳控件,文本框顯示用戶選擇的文件的全名. 其屬性主要包括: ContenLength:

Java 訪問控制你真的了解 protected keyword嗎?

可見 讀者 警告 except 控制 知識 繼承關系 shc line 摘要:   在一個類的內部,其成員(包含成員變量和成員方法)是否能被其它類所訪問,取決於該成員的修飾詞;而一個類是否能被其它類所訪問,取決於該類的修飾詞。Java的類成員訪問權限修

菜鳥入門【ASP.NET Core】3準備CentOS和Nginx環境

sysconf service www post 輸入密碼 mct cnblogs kdt 提示 基本軟件 VMware虛擬機 centos:http://isoredirect.centos.org/centos/7/isos/x86_64/CentOS-7-x86_

菜鳥入門【ASP.NET Core】5命令行配置、Json文件配置、Bind讀取配置到C#實例、在Core Mvc中使用Options

加載 中間 view tar public png 配置到 index 不同 命令行配置 我們通過vs2017創建一個控制臺項目CommandLineSample 可以看到現在項目以來的是dotnet core framework 我們需要吧a

asp.net使用session完成 從哪個頁面進入登錄頁面,登錄成功還回到那個頁面

redirect net resp rec isp response AS edi != 1、在Login.aspx頁面Load中加入 if (!IsPostBack && Request.UrlReferrer != null) {

[]ASP.NET 核心模塊配置參考

add 正在 其他 lac 停止 開發人員 單位 並且 rtai 本文轉自:https://docs.microsoft.com/zh-cn/aspnet/core/host-and-deploy/aspnet-core-module?view=aspnetcore-2.1

跟我學ASP.NET MVC之四使用Razor

ima pre 技術分享 C# 圖模型 med 執行 sys fonts 摘要: 視圖引擎處理ASP.NET內容,並查找指令,典型情況是向瀏覽器輸出插入動態內容。MVC框架視圖引擎的名字是Razor。 在本文中,我將帶領讀者快速認識Razor,以後你們看到他們的時候能夠

跟我學ASP.NET MVC之七SportsStrore購物車

repos ras img sports collect dev PC RM VC 摘要: SportsStore應用程序進展很順利,但是我不能銷售產品直到設計了一個購物車。在這篇文章裏,我就將創建一個購物車。 在目錄下的每個產品旁邊添加一個添加到購物車按鈕。點擊這個按

跟我學ASP.NET MVC之八SportsStrore移動設備

ima 支持 web瀏覽器 css 客戶端瀏覽器 nts oat 重新 menu 摘要: 現在的web程序開發避免不了智能手機和平板電腦上的使用,如果你希望發布你的應用程序給更廣大客戶使用的話,你將要擁抱可移動web瀏覽器的世界。向移動設備用戶發布一個好的使用體驗是很困難

雜項-管理管理

lB 必須 刪除 AR image ID targe 需要 inf ylbtech-雜項-權限管理:權限管理 權限管理,一般指根據系統設置的安全規則或者安全策略,用戶可以訪問而且只能訪問自己被授權的資源,不多不少。權限管理幾乎出現在任何系統裏面,只要有用戶和密碼

學習 ASP.NET Core 2.1集成測試中使用 WebApplicationFactory

UNC enc sta 測試 修改 構造 creat -a msdn WebApplicationFactory 是 ASP.NET Core 2.1 新特性 MVC functional test infrastructure 中帶來的新東東,它封裝了 TestServe