RFC2617-cn.pdf_2617列车资源-CSDN文库

RFC2617-cn

5星 · 超过95%的资源需积分: 9 71 浏览量 2010-01-27 15:19:42 上传评论收藏 374KB PDF 举报

资源推荐

资源详情

资源评论

HTTP Authentication: Basic and Digest Access Authentication

备忘（ Status of this Memo ）

本文档跟踪记录 Internet 团体为完善协议而进行的讨论

、建

议

。

详情请参见官

方文件（ STD1 ）。本文可任意分发。

摘要（ Abstract ）

“ HTTP/1.0 ” 中包括基本访问鉴别方案（ Basic Access Authentication scheme

）

。

该方案不是安全的用户授权方法（除非与其它安全方法联合使用，如 SSL[5] ），因

为其用户名和口令在网络上是以明文方式传送的。

本文档还提供了 HTTP 鉴别框架的规范，有关原始的基本鉴别方案和基于哈

希加密的方案的内容，请参见摘要访问鉴别（ Digest Acccess Authentication ）。从

RFC2069 公布以来，其中涉及的一些可选元素因为出现问题而被移出；而还有一

些新的元素因为兼容性的原因而被加入，这些新元素虽然是可选的，但还是强烈

建议使用的，因而， RFC2069[6] 最终可能会被本规范所替代。

与基本方式类似的是，摘要鉴别授权对通讯双方都知道的秘密（如口令）进行

校验；而与基本方式不同的是，该校验方式中的口令不以明文方式传输，而这正是

基本方式的最大弱点。正象其它大多数授权协议那样，该协议最大的风险不在于

其协议本身，而是它周边的应用程序。

目录（ Table of Contents ）

1 授权鉴别（ Access Authentication ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.1 对 HTTP/1.1 规范的依赖（ Reliance on the HTTP/1.1 Specification ） . . . . . . . . . . . . . . . . . 3

1.2 访问鉴别框架（ Access Authentication Framework ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2 基本鉴别方案（ Basic Authentication Scheme ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

3 摘要访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

访问鉴别方案（ Digest Access Authentication Scheme ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

3.1 介绍（ Introduction ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

3.1.1 目的（ Purpose ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

3.1.2 操作概述（ Overall Operation ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

3.1.3 摘要值的表示（ Representation of digest values ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

3.1.4 局限性（ Limitations ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

3.2 摘要报头的规范（ Specification of Digest Headers ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

3.2.1 WWW- 鉴别回应报头（ The WWW-Authenticate Response Header ） . . . . . . . . . . . . . 9

3.2.2 授权求报头（ The Authorization Request Header ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

3.2.2.1 请求－摘要（ Request-Digest ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

3.2.2.2 A1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

3.2.2.3 A2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

3.2.2.5 多样性考虑（ Various considerations ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3.2.3 鉴别信息报头（ The Authentication-Info Header ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3.3 摘要操作（ Digest Operation ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

3.4 安全协议讨论（ Security Protocol Negotiation ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

3.5 例子（ Example ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

3.6 代理鉴别和代理授权（ Proxy-Authentication and Proxy-Authorization ） . . . . . . . 28

4 安全考虑（ Security Considerations ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

4.1 客户使用基本鉴别（ Authentication of Clients using Basic Authentication ） 29

4.2 客户使用摘要鉴别（ Authentication of Clients using Digest Authentication ） 30

4.3 受限的 nonce 值使用（ Limited Use Nonce Values ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

4.4 基本鉴别与分摘要鉴别的比较（ Comparison of Digest with Basic

Authentication ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

4.5 回放式攻击（ Replay Attacks ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

4.6 由多方鉴别方案产生的弱点（ Weakness Created by Multiple Authentication

Schemes ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

4.8 中间人（ Man in the Middle ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

4.9 选择纯文本攻击（ Chosen plaintext attacks ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

4.10 预先计算的字典攻击（ Precomputed dictionary attacks ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4.11 批方式暴力攻击（ Batch brute force attacks ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4.12 假冒服务器欺骗（ Spoofing by Counterfeit Servers ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

4.13 存储口令（ Storing passwords ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.14 摘要（ Summary ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

5 例子实现（ Sample implementation ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

7 参考书目（ References ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

8 作者地址（ Authors' Addresses ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

感谢（ Acknowledgement ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

1 授权鉴别（ Access Authentication ）

1.1 对 HTTP/1.1 规范的依赖（ Reliance on the HTTP/1.1 Specification ）

本规范和 HTTP/1.1 规范 [2] 一起使用，它使用 HTTP/1.1 文档 2.1 节的补充反

馈方式（ Augmented BNF ），并依赖于该文档对非终端（ non-terminals ）的定义及对

其它方面的描述。

1.2 访问鉴别框架（ Access Authentication Framework ）

HTTP 提供了简单的挑战－回应鉴别机制，它可能被服务器用来质询客户端

请求，也可能被客户端用来提供鉴别信息。授权方案用可扩展的、大小写敏感的符

号来标识，后跟获取证明所需要的以逗号分隔的 ‘ 属性－值 ’ 对。

auth-scheme = token

auth-param = token "=" ( token | quoted-string )

401

（未授权

）回

应消息被原始服务器端用来质询用户代理的授权

。

该回应必须

包括含有至少一个被请求资源质询（ challenge ）的 WWW －鉴别报头

域。

407

（需要鉴

别代理）回应消息被代理用来质询客户端的授权，它的代理鉴别报头域（ Proxy-

Authenticate header field ）必须包括至少一个代理方（ proxy ）对被请求资源的质询

。

challenge = auth-scheme 1*SP 1#auth-param

注意：用户代理（ agent ）解析 WWW- 鉴别（ WWW-Authenticate ）或代理 - 鉴别

（ Proxy-Authenticate ）的报头域，在碰到含有多个质询（）或多个 WWW- 鉴别报头域

时，要特别小心，因为这些质询本身可能就包含了以逗号分隔的鉴别参数对。

鉴别参数 realm 的定义在所有的鉴别方案中使用：

realm = "realm" "=" realm-value

realm-value = quoted-string

Realm 项（大小写敏感）在所有涉及质询（ challenge ）的鉴别方案中都要用到。

Realm 值（大小写敏感）要与被访问服务器的 ‘ 根 ’ URL 的规范用法（即绝对路径为

空的服务器的绝对 URI － absoluteURI ，见 5.1.2 节 [2] ）联合使用，以定义受保护的

区间

。

这些 realm 参数允许将服务器上受保护资源分成若干个区间

，

每个区间都有

其自己的鉴别方案和（或）授权数据库。 Realm 值是字符串，通常由原始服务器分

配，针对某些鉴别方案可能还有附加的语法问题。注意，可能存在多个质询

（ challenge ）， auth-scheme 相同，而 realm 不同的情况。

通常，用户代理（ agent ）在收到 401 （未授权）回应时，可能（也可能不会）希望

服务器对其授权。如果希望授权，用户代理将在请求中加入授权请求报头

（ Authorization request-header ）域。授权域值由信任证书组成，其中有对用户代理

所请求资源领域的授权信息。客户端在收到

407

（需要代理鉴别

）回

应时，如希望通

过代理进行自身的鉴别，可在请求中加入代理授权请求报头域（ Proxy-

Authorization request-header ）。授权域值和代理授权域值都是由信任组成，这些

信任包括被请求资源的客户端鉴别信息 realm 的值

。用

户代理（ user agent ）必须选

用它所能理解的最强的 auth-scheme 及用户回应质询（ challenge ）的请求信任。

剩余53页未读，继续阅读

评论收藏

内容反馈

竹妖

2023-05-11

#完美解决问题
cn_zhanghui

2016-06-22

翻译的不错，多谢了

空心泡桐

粉丝: 8
资源: 7

RFC2617-cn.pdf

RFC2617中文文档

RFC2617中文版

RFC2617-中文版

RFC 2617中文版（HTTP Digest Authentication）

RFC2617-cn 中文版

REST_cn.pdf

DAC1220EG4-cn.pdf

01083a_cn.pdf

AD7606B_cn.pdf

rfc3261-cn.pdf

RFC2326 - RTSP.pdf

rfc4571-rtpovertcp.pdf

RFC文档阅读1-100.pdf

StartupGuideSelectionum0c_cn.pdf

At89c52_cn.pdf

StartupGuideWiringum0c_cn.pdf

onlisp-cn.pdf

ADL5387_cn.pdf

rfc3588-diameter.pdf

rfc7143-iscsi-2014-Consolidated.pdf

rfc7348-VxLAN.pdf

RFC2045-2049.rar

rfc-editor.org-.en.zh-CN.pdf

ADIS16460_cn.pdf

ATmega16_cn.pdf

DS1302_cn.pdf

MAX31865_cn.pdf

AD5767_cn.pdf

rfc2001-2500.

最新资源