本章提供HTTP官方定义的另外一种认证协议:摘要认证。摘要认证跟基本认证兼容,但更安全,虽然没有得到广泛应用,但对安全事务来说,这些概念是很重要的。
摘要认证的改进
与基本认证相比,摘要认证虽不是最安全的认证方式,但却在以下几点上做了一些改进,以此来降低安全事务风险。
- 永远不会以明文方式在网络上发送密码
- 可以防止恶意用户捕获并重新认证的握手过程
- 可以有选择地防止对报文内容的篡改
- 防范其他几种常见的攻击方式
- 用摘要保护密码:永远不在网络上发送密码,而是发送密码的摘要,客户端和服务器端是知道密码的,然后服务端计算从客户端传送过来的摘要看是否和本地的密码摘要相匹配,从而验证用户身份。
- 单向摘要:摘要是一种单向函数,常见的摘要很是是MD5,会将任意长度的字节序列转换为一个128位的摘要,通常被写成一个32位16进制的字符。
- 用随机数防止重放攻击:就是服务器发送一个随机数,用于和密码摘要组成新的摘要,这样就能避免重放攻击了。
下一节:本章主要讲解了一下http的安全版本https,以及对一下编码、解码的原理介绍!