没有合适的资源?快使用搜索试试~ 我知道了~
RFC2617-cn.pdf

温馨提示


试读
54页
RFC2617-cn.pdf HTTP Authentication: Basic and Digest Access Authentication
资源推荐
资源详情
资源评论








HTTP Authentication: Basic and Digest Access Authentication
备 忘( Status of this Memo )
本文档跟踪 记录 Internet 团 体 为 完善 协议 而 进 行的 讨论
、建
议
。
详 情 请 参 见 官
方文件( STD1 )。本文可任意分 发 。
版 权 声明( Copyright Notice )
Copyright (C) The Internet Society (1999). All Rights Reserved.
摘要( Abstract )
“ HTTP/1.0 ” 中包括基本 访问鉴别 方案( Basic Access Authentication scheme
)
。
该 方案不是安全的用 户 授 权 方法(除非与其它安全方法 联 合使用,如 SSL[5] ),因
为 其用 户 名和口令在网 络 上是以明文方式 传 送的。
本文档 还 提供了 HTTP 鉴别 框架的 规 范,有 关 原始的基本 鉴别 方案和基于哈
希加密的方案的内容, 请 参 见 摘要 访问鉴别 ( Digest Acccess Authentication )。从
RFC2069 公布以来,其中 涉 及的一些可 选 元素因 为 出 现问题 而被移出;而 还 有一
些新的元素因 为 兼容性的原因而被加入, 这 些新元素 虽 然是可 选 的,但 还 是 强 烈
建 议 使用的,因而, RFC2069[6] 最 终 可能会被本 规 范所替代。

与基本方式 类 似的是,摘要 鉴别 授 权对 通 讯 双方都知道的秘密(如口令) 进 行
校 验 ;而与基本方式不同的是, 该 校 验 方式中的口令不以明文方式 传输 ,而 这 正 是
基本方式的最大弱点。正象其它大多数授 权协议 那 样 , 该协议 最大的 风险 不在于
其 协议 本身,而是它周 边 的 应 用程序。
目 录 ( Table of Contents )
1 授 权鉴别 ( Access Authentication ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1 对 HTTP/1.1 规 范的依 赖 ( Reliance on the HTTP/1.1 Specification ) . . . . . . . . . . . . . . . . . 3
1.2 访问鉴别 框架( Access Authentication Framework ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2 基本 鉴别 方案( Basic Authentication Scheme ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3 摘要 访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
访问鉴别 方案( Digest Access Authentication Scheme ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.1 介 绍 ( Introduction ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.1.1 目的( Purpose ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.1.2 操作概述( Overall Operation ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.1.3 摘要 值 的表示( Representation of digest values ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.1.4 局限性( Limitations ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.2 摘要 报头 的 规 范( Specification of Digest Headers ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.2.1 WWW- 鉴别 回 应报头 ( The WWW-Authenticate Response Header ) . . . . . . . . . . . . . 9
3.2.2 授 权 求 报头 ( The Authorization Request Header ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3.2.2.1 请 求-摘要( Request-Digest ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.2.2.2 A1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.2.2.3 A2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.2.2.5 多 样 性考 虑 ( Various considerations ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.2.3 鉴别 信息 报头 ( The Authentication-Info Header ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.3 摘要操作( Digest Operation ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.4 安全 协议讨论 ( Security Protocol Negotiation ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.5 例子( Example ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.6 代理 鉴别 和代理授 权 ( Proxy-Authentication and Proxy-Authorization ) . . . . . . . 28
4 安全考 虑 ( Security Considerations ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.1 客 户 使用基本 鉴别 ( Authentication of Clients using Basic Authentication ) 29
4.2 客 户 使用摘要 鉴别 ( Authentication of Clients using Digest Authentication ) 30
4.3 受限的 nonce 值 使用( Limited Use Nonce Values ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.4 基本 鉴别 与分摘要 鉴别 的比 较 ( Comparison of Digest with Basic
Authentication ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.5 回放式攻 击 ( Replay Attacks ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.6 由多方 鉴别 方案 产 生的弱点( Weakness Created by Multiple Authentication
Schemes ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.8 中 间 人( Man in the Middle ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.9 选择纯 文本攻 击 ( Chosen plaintext attacks ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.10 预 先 计 算的字典攻 击 ( Precomputed dictionary attacks ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.11 批方式暴力攻 击 ( Batch brute force attacks ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.12 假冒服 务 器欺 骗 ( Spoofing by Counterfeit Servers ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

4.13 存 储 口令( Storing passwords ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.14 摘要( Summary ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
5 例子 实现 ( Sample implementation ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
7 参考 书 目( References ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
8 作者地址( Authors' Addresses ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
9. 完整版 权 声明( Full Copyright Statement ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
感 谢 ( Acknowledgement ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
1 授 权鉴别 ( Access Authentication )
1.1 对 HTTP/1.1 规 范的依 赖 ( Reliance on the HTTP/1.1 Specification )
本 规 范和 HTTP/1.1 规 范 [2] 一起使用,它使用 HTTP/1.1 文档 2.1 节 的 补 充反
馈 方式( Augmented BNF ),并依 赖 于 该 文档 对 非 终 端( non-terminals )的定 义 及 对
其它方面的描述。
1.2 访问鉴别 框架( Access Authentication Framework )
HTTP 提供了 简单 的挑 战 -回 应鉴别 机制,它可能被服 务 器用来 质询 客 户 端
请 求,也可能被客 户 端用来提供 鉴别 信息。授 权 方案用可 扩 展的、大小写敏感的 符
号来 标识 ,后跟 获 取 证 明所需要的以逗号分隔的 ‘ 属性- 值 ’ 对 。
auth-scheme = token
auth-param = token "=" ( token | quoted-string )
401
(未授 权
)回
应 消息被原始服 务 器端用来 质询 用 户 代理的授 权
。
该 回 应 必 须
包括含有至少一个被 请 求 资 源 质询 ( challenge )的 WWW - 鉴别报头
域。
407
(需要 鉴
别 代理)回 应 消息被代理用来 质询 客 户 端的授 权 ,它的代理 鉴别报头 域( Proxy-
Authenticate header field )必 须 包括至少一个代理方( proxy ) 对 被 请 求 资 源的 质询
。

challenge = auth-scheme 1*SP 1#auth-param
注意:用 户 代理( agent )解析 WWW- 鉴别 ( WWW-Authenticate )或代理 - 鉴别
( Proxy-Authenticate )的 报头 域,在碰到含有多个 质询 ()或多个 WWW- 鉴别报头 域
时 ,要特 别 小心,因 为这 些 质询 本身可能就包含了以逗号分隔的 鉴别 参数 对 。
鉴别 参数 realm 的定 义 在所有的 鉴别 方案中使用:
realm = "realm" "=" realm-value
realm-value = quoted-string
Realm 项 (大小写敏感)在所有 涉 及 质询 ( challenge )的 鉴别 方案中都要用到。
Realm 值 (大小写敏感)要与被 访问 服 务 器的 ‘ 根 ’ URL 的 规 范用法(即 绝对 路径 为
空的服 务 器的 绝对 URI - absoluteURI , 见 5.1.2 节 [2] ) 联 合使用,以定 义 受保 护 的
区 间
。
这 些 realm 参数允 许 将服 务 器上受保 护资 源分成若干个区 间
,
每 个区 间 都 有
其自己的 鉴别 方案和(或)授 权 数据 库 。 Realm 值 是字符串,通常由原始服 务 器分
配, 针对 某些 鉴别 方案可能 还 有附加的 语 法 问题 。注意,可能存在多个 质询
( challenge ), auth-scheme 相同,而 realm 不同的情况。
通常,用 户 代理( agent )在收到 401 (未授 权 )回 应时 ,可能(也可能不会)希望
服 务 器 对 其授 权 。如果希望授 权 ,用 户 代理将在 请 求中加入授 权请 求 报头
( Authorization request-header )域。授 权 域 值 由信任 证书组 成,其中有 对 用 户 代 理
所 请 求 资 源 领 域的授 权 信息。客 户 端在收到
407
(需要代理 鉴别
)回
应时 ,如希望 通
过 代理 进 行自身的 鉴别 ,可在 请 求中加入代理授 权请 求 报头 域( Proxy-
Authorization request-header )。授 权 域 值 和代理授 权 域 值 都是由信任 组 成, 这 些
信任包括被 请 求 资 源的客 户 端 鉴别 信息 realm 的 值
。用
户 代理( user agent )必 须 选
用它所能理解的最 强 的 auth-scheme 及用 户 回 应质询 ( challenge )的 请 求信任。

credentials = auth-scheme #auth-param
注意, 许 多 浏览 器只支持基本方案,要求它在 auth-scheme 中排在第一位。 如
果提供最低程度的 满 意度,服 务 器端 应 只支持基本方案。
受保 护 区 间 定 义 了将要自 动 使用信任的区域。如果早先的 请 求已 经 通 过认证
,
在由授 权 方案,参数和(或)用 户选择 等所指定的 时间间 隔内,其它的 请 求可通 过
相同的信任来 访问该 保 护 区域。除非 鉴别 方案有特 别 指定,否 则单 个保 护 区域不
能 扩 展到 该 服 务 器以外的范 围 。
如果原始服 务 器不希望通 过发 送的 请 求来接受信任, 它 应 当返回
401
(未授 权
)
回 应
。
该 回 应 必 须 包括一个 WWW- 鉴别报头 域,而 该 域要包含至少一个(可能是 新
的) 对 被 请 求 资 源的 质询 ( challenge )。如果代理( proxy )不接受用 请 求方式 发 送信
任,它 应 当返回 407 (需要代理 鉴别 )回 应 。 该 回 应 必 须 包括一个代理 鉴别 ( Proxy-
Authenticate
)
报头 域,而 该 域要包含至少一个(可能是新的),代理可用的, 对 被 请
求 资 源的 质询 。
HTTP 协议 的 访问鉴别 并不限于 这种简单 的 质询 回 应 ( challenge-response )机
制, 还 可以使用其它的方法,比如 传输级 加密或消息封装及通 过 附加 报头 域来指
定 鉴别 信息等等。但是, 这 些方法不在本文档的 讨论 范 围 。
代理( proxy )必 须 完全透明地 处 理原始服 务 器 对 用 户 代理( user agent )的 鉴别
,
也就是 说
, 它
们 必 须 在不做任何改 动 的前提下将 WWW- 鉴别 和授 权报头 向前推
送,
这 方面的 规 定 见 [2] 的 14.8 节
。 代理
-
鉴别
( WWW-Authenticate
) 和代理
- 授
权
( Prox y-
Authorization ) 报头 域都是 hop-by-hop 报头 ( 见 [2] 的 13.5.1 节 )。
剩余53页未读,继续阅读
资源评论

- 竹妖2023-05-11#完美解决问题
- cn_zhanghui2016-06-22翻译的不错,多谢了

空心泡桐
- 粉丝: 8
- 资源: 7
上传资源 快速赚钱
我的内容管理 展开
我的资源 快来上传第一个资源
我的收益
登录查看自己的收益我的积分 登录查看自己的积分
我的C币 登录后查看C币余额
我的收藏
我的下载
下载帮助


安全验证
文档复制为VIP权益,开通VIP直接复制
