HTTP 常见鉴权
一、Basic Auth
a
Basic Auth 使用 Base64 摘要算法生成密文
格式为 用户名:密码 ,用户名密码以:分割
例如:admin:123456
伪代码如下:
value = "admin:123456"
encodedValue = base64(value)
AuthData = "Basice " + encodedValue
可以使用工具在线计算
https://base64.us/
"admin:123456" 计算得对应编码为 YWRtaW46MTIzNDU2
填充 HTTP 请求的报文头
GET /LAPI/V1.0/PeopleLibraries/BasicInfo HTTP/1.1
Host: 192.168.1.100
Authorization: Basic YWRtaW46MTIzNDU2
点评:
Basic Auth 的安全性只能保护用户名密码不被明文读取到,但编码后是固定值,所以只要捕获到该鉴权值,就相当于鉴权无效了。
改进方法就是在鉴权中增加临时值,保证该鉴权值动态变化。
二、Digest RFC 2069
Document: https://datatracker.ietf.org/doc/html/rfc2069
Digest MD5(RFC 2069) 对 Basic Auth 的改进
鉴权值计算如下:
Hash1=MD5(username:realm:password)
Hash2=MD5(method:uri)
response=MD5(Hash1:nonce:Hash2)
其中
method 为 HTTP 请求方法 GET/PUT/POST...
URI为请求的资源地址,即除去http://<host>部分
realm 为固定值,用以标记用户身份,由服务端提供
nonce 为随机值,由服务端提供
例如 username=admin, password=123456, algorithm="MD5", nonce=5443494eb52c8658d88602d343810d35
ha1 = md5("admin:e4f14c15b4a5:123456")
ha2 = md5("GET:/LAPI/V1.0/PeopleLibraries/BasicInfo")
response = md5(ha1+":5443494eb52c8658d88602d343810d35:"+ha2)
注意一般计算值 ha1 ha2 response 需要转为小写 hex
填充 HTTP Header
GET /LAPI/V1.0/PeopleLibraries/BasicInfo HTTP/1.1
Host: 192.168.1.100
Authorization: Digest username="admin", realm="e4f14c15b4a5", nonce="5443494eb52c8658d88602d343810d35", uri="/LAPI/V1.0/PeopleLibraries/BasicInfo", algorithm="MD5", response="4e6ab960185269346884704a4c7458ce"
鉴权流程为
- 访问服务器资源,服务器返回
401 Unauthorized,并携带nonce和鉴权加密算法 - 计算鉴权值,填充到 HTTP Header 中
- 再次访问服务器资源,鉴权成功,服务器返回
200 Ok
点评:
RFC 2069 提供的鉴权方式,在一定程度上增加了安全性,将固定的鉴权值变为动态,并且将用户名密码计算部分隐藏起来,降低了被碰撞的可能性。
但是这样只能通过 nonce 保证服务器的动态变化,无法保证客户端的随机性
现在 2069 已被标记为 out of date,取而代之的是 2617
三、Digest RFC 2617
Document: http://www.faqs.org/rfcs/rfc2617.html
鉴权值计算如下:
Hash1=MD5(username:realm:password)
Hash2=MD5(method:URI)
response=MD5(Hash1:nonce:nonceCount:cnonce:qop:Hash2)
相比 2069,不同的在于增加了 qop cnonce nonce-count
qop 保护质量(quality of protection),可选值,由服务器提供,主要用来兼容 2069
cnonce 客户端提供的字符串,用以双向认证;当有 qop 时必须携带,否则必须不携带
nonce-count 客户端提供的访问请求数量(包括此次请求),采用16进制表示,用以校验请求是否重复;当有 qop 时必须携带,否则必须不携带
例如 username=admin, password=123456, qop=auth, algorithm="MD5", nonce=5443494eb52c8658d88602d343810d35, cnonce=0aff113b, nc=00000001
ha1 = md5("admin:e4f14c15b4a5:123456")
ha2 = md5("GET:/LAPI/V1.0/PeopleLibraries/BasicInfo")
response = md5(ha1+":5443494eb52c8658d88602d343810d35"+":00000001"+":0aff113b"+":auth"+ha2)
注意一般计算值 ha1 ha2 response 需要转为小写 hex
填充 HTTP Header
GET /LAPI/V1.0/PeopleLibraries/BasicInfo HTTP/1.1
Host: 192.168.1.100
Authorization: Digest username="admin", realm="e4f14c15b4a5", nonce="5443494eb52c8658d88602d343810d35", uri="/LAPI/V1.0/PeopleLibraries/BasicInfo", algorithm="MD5", qop=auth, nc=00000001, cnonce="0aff113b", response="0ecd5b6626ec7214437a87e1f1a5cfdc"
注意,存在客户端有 qop 但是 cnonce nonce-count 为空的情况,计算规则可以视为空字符串,具体如下
ha1 = md5("admin:e4f14c15b4a5:123456")
ha2 = md5("GET:/LAPI/V1.0/PeopleLibraries/BasicInfo")
response = md5(ha1+":5443494eb52c8658d88602d343810d35:::auth"+ha2)
填充 HTTP Header
GET /LAPI/V1.0/PeopleLibraries/BasicInfo HTTP/1.1
Host: 192.168.1.100
Authorization: Digest username="admin", realm="e4f14c15b4a5", nonce="5443494eb52c8658d88602d343810d35", uri="/LAPI/V1.0/PeopleLibraries/BasicInfo", algorithm="MD5", qop=auth, response="0ecd5b6626ec7214437a87e1f1a5cfdc"
鉴权流程为
- 访问服务器资源,服务器返回
401 Unauthorized,并携带nonceqop和鉴权加密算法 - 计算鉴权值,填充到 HTTP Header 中
- 再次访问服务器资源,鉴权成功,服务器返回
200 Ok
点评:
RFC 2617 新增了 cnonce 保证了客户端和服务端的双向认证,提供 nonce count 防止消息重复,提供了 qop 来兼容 RFC 2069,相比 Basic Auth 和 RFC 2069 是实现较简单且安全性较高的一种方式。