• 解决半岛问题 中美对话合作必不可少 2019-03-21
  • 阳泉计划今年在全省率先整体脱贫 2019-03-21
  • 《王者荣耀》Switch版正式公布 今年秋季推出 2019-03-16
  • 十多次告病危 2岁高危白血病男童盼来“生命火种” 2019-03-16
  • 摄艳|本网摄影师赤壁、竹林创作人像尽显侠客风 2019-03-16
  • 我在吃饭,重点在那?重点在饭,难道我只能吃饭吗?看着就想笑 2019-03-10
  • 人民日报社习近平新闻思想理论研讨会发言摘编 2019-03-10
  • 建始白云草地音乐节:醉了游人,火了产业,牵动慈善 2019-03-01
  • “直播政务述职”是与民沟通良机 2019-02-22
  • 熊猫启航计划即将启动 让世界聆听大熊猫声音 2018-12-28
  • 三星侵犯一大学专利 被判支付罚金4亿美元 2018-12-04
  • 以政府拟严打“乱拍摄”以军行为 最高10年监禁 2018-12-04
  • 今天看啥
      热点:

      http协议是无状态的, 浏览器和web服务器之间可以通过cookie来身份识别。 桌面应用程序(比如新浪桌面客户端, skydrive客户端)跟Web服务器之间是如何身份识别呢?

       

      阅读目录

      1. 什么是HTTP基本认证
      2. HTTP基本认证的过程
      3. HTTP基本认证的优点
      4. 每次都要进行认证
      5. HTTP基本认证和HTTPS一起使用就很安全
      6. HTTP OAuth认证
      7. 其他认证
      8. 客户端的使用

       

      什么是HTTP基本认证

      新疆35选7的开奖号 www.ts3ne.com 桌面应用程序也通过HTTP协议跟Web服务器交互, 桌面应用程序一般不会使用cookie, 而是把 "用户名+冒号+密码"用BASE64编码的字符串放在http request 中的header Authorization中发送给服务端, 这种方式叫HTTP基本认证(Basic Authentication)

      当浏览器访问使用基本认证的网站的时候, 浏览器会提示你输入用户名和密码,如下图

       

      假如用户名密码错误的话, 服务器会返回401 如下图

       

      HTTP基本认证的过程

      第一步: 客户端发送http request 给服务器,

      第二步: 因为request中没有包含Authorization header, 服务器会返回一个401 Unauthozied 给客户端,并且在Response 的 header "WWW-Authenticate" 中添加信息。

       

      第三步:客户端把用户名和密码用BASE64编码后,放在Authorization header中发送给服务器, 认证成功。

      第四步:服务器将Authorization header中的用户名密码取出,进行验证, 如果验证通过,将根据请求,发送资源给客户端

       

      使用Fiddler Inspectors 下的Auth 选项卡,可以很方便的看到用户名和密码:

       

      HTTP基本认证的优点

      HTTP基本认证,简单明了。Rest API 就是经常使用基本认证的

       

      每次都要进行认证

      http协议是无状态的, 同一个客户端对 服务器的每个请求都要求认证

       

      HTTP基本认证和HTTPS

      把 "用户名+冒号+密码" 用BASE64编码后的string虽然用肉眼看不出来, 但用程序很容易解密,上图可以看到Fiddler就直接给解密了。 所以这样的http request 在网络上,如果用HTTP传输是很不安全的。 一般都是会用HTTPS传输, HTTPS是加密的, 所以比较安全.

       

      HTTP OAuth认证

      OAuth 对于Http来说,就是放在Authorization header中的不是用户名密码, 而是一个token.
      微软的Skydrive 就是使用这样的方式, 如下图
       

       

      其他认证

      除了基本认证(Basic Authentication), 还有摘要认证 digest authentication, WSSE(WS-Security)认证
       
       

      客户端的使用

      客户端如果要跟“使用基本认证的网站”交互。 非常很简单,把用户名密码 加在Authorization header中就可以了。
       
      C#
      string url = "https://testsite";
      HttpWebRequest req = (HttpWebRequest)WebRequest.Create(url);
      NetworkCredential nc = new NetworkCredential("username", "password");
      req.Credentials = nc;

       

      Linux下的curl

      复制代码
      curl -u username:password https://testsite/

      评论暂时关闭

    • 解决半岛问题 中美对话合作必不可少 2019-03-21
    • 阳泉计划今年在全省率先整体脱贫 2019-03-21
    • 《王者荣耀》Switch版正式公布 今年秋季推出 2019-03-16
    • 十多次告病危 2岁高危白血病男童盼来“生命火种” 2019-03-16
    • 摄艳|本网摄影师赤壁、竹林创作人像尽显侠客风 2019-03-16
    • 我在吃饭,重点在那?重点在饭,难道我只能吃饭吗?看着就想笑 2019-03-10
    • 人民日报社习近平新闻思想理论研讨会发言摘编 2019-03-10
    • 建始白云草地音乐节:醉了游人,火了产业,牵动慈善 2019-03-01
    • “直播政务述职”是与民沟通良机 2019-02-22
    • 熊猫启航计划即将启动 让世界聆听大熊猫声音 2018-12-28
    • 三星侵犯一大学专利 被判支付罚金4亿美元 2018-12-04
    • 以政府拟严打“乱拍摄”以军行为 最高10年监禁 2018-12-04