1. 程式人生 > >http認證與portal認證

http認證與portal認證

什麼是HTTP基本認證

  桌面應用程式也通過HTTP協議跟Web伺服器互動, 桌面應用程式一般不會使用cookie, 而是把 "使用者名稱+冒號+密碼"用BASE64演算法加密後的字串放在http request 中的header Authorization中傳送給服務端, 這種方式叫HTTP基本認證(Basic Authentication)

  當瀏覽器訪問使用基本認證的網站的時候, 瀏覽器會提示你輸入使用者名稱和密碼,如下圖

  假如使用者名稱密碼錯誤的話, 伺服器會返回401 如下圖

  HTTP基本認證的過程

  第一步:  客戶端傳送http request 給伺服器, 

  第二步:  因為request中沒有包含Authorization header,  伺服器會返回一個401 Unauthozied給客戶端,並且在Response的 header "WWW-Authenticate" 中新增資訊。

  第三步:客戶端把使用者名稱和密碼用BASE64加密後,放在Authorization header中傳送給伺服器, 認證成功。

  第四步:伺服器將Authorization header中的使用者名稱密碼取出,進行驗證, 如果驗證通過,將根據請求,傳送資源給客戶端

  使用Fiddler Inspectors 下的Auth 選項卡,可以很方便的看到使用者名稱和密碼:

  HTTP基本認證的優點

  HTTP基本認證,簡單明瞭。Rest API 就是經常使用基本認證的。

  每次都要進行認證

  http協議是無狀態的, 同一個客戶端對 伺服器的每個請求都要求認證。

  HTTP基本認證和HTTPS

  把 "使用者名稱+冒號+密碼" 用BASE64加密後的string雖然用肉眼看不出來, 但用程式很容易解密,上圖可以看到Fiddler就直接給解密了。 所以這樣的http request在網路上,如果用HTTP傳輸是很不安全的。 一般都是會用HTTPS傳輸,HTTPS是加密的,,所以比較安全。

  HTTP OAuth認證

  OAuth對於Http來說,就是放在Authorization header中的不是使用者名稱密碼, 而是一個token。   微軟的Skydrive 就是使用這樣的方式, 如下圖: 

  其他認證

  除了基本認證(Basic Authentication), 還有摘要認證digest authentication, WSSE(WS-Security)認證 -------------------------------------------------------------------------------------------------------------- portal認證: