上一篇介绍的基本认证便捷灵活,但极不安全。用户名和密码都是以明文形式传送的,也没有采取任何措施防止对报文的篡改。安全使用基本认证的唯一方式就是将其与SSL配合使用
摘要认证与基本认证兼容,但却更为安全。本文将详细介绍绍摘要认证的原理和实际应用
工作原理
摘要认证是另一种HTTP认证协议,它试图修复基本认证协议的严重缺陷。具体来说,摘要认证进行了如下改进:永远不会以明文方式在网络上发送密码;可以防止恶意用户捕获并重放认证的握手过程;可以有选择地防止对报文内容的篡改;防范其他几种常见的攻击方式
摘要认证并不是最安全的协议,并不能满足安全HTTP事务的很多需求。对这些需求来说,使用传输层安全(Transport Layer Security, TLS)和安全HTTP(Secure HTTP, HTTPS)协议更为合适一些
