HTTP Authorization

今天部署了一个Authorization项目，由于改了auth服务器客户端id和密码，而前端请求header没有修改，登录时一直弹框要求输入用户名和密码，输入后却无效，只好改前端代码。改完只好就可以了。以下是参考文章。

POST /goform/ser2netconfigAT HTTP/1.1

Host: 192.168.16.254
Connection: keep-alive
Authorization: Basic YWRtaW46YWRtaW4= //笔者注释，Authorization: "Basic 用户名和密码的base64加密字符串"   在线编解码工具
Content-Length: 23

 

uart=9600,8,n,1&save=1

 

用中文简述一下http auth的过程：

客户端发送http请求
服务器发现配置了http auth，于是检查request里面有没有"Authorization"的http header
如果有，则判断Authorization里面的内容是否在用户列表里面，Authorization header的典型数据为"Authorization: Basic jdhaHY0="，其中Basic表示基础认证， jdhaHY0=是base64编码的"user:passwd"字符串。如果没有，或者用户密码不对，则返回http code 401页面给客户端。
标准的http浏览器在收到401页面之后，应该弹出一个对话框让用户输入帐号密码；并在用户点确认的时候再次发出请求，这次请求里面将带上Authorization header

一次典型的访问场景是：
浏览器发送http请求（没有Authorization header）
服务器端返回401页面
浏览器弹出认证对话框
用户输入帐号密码，并点确认
浏览器再次发出http请求（带着Authorization header）
服务器端认证通过，并返回页面
浏览器显示页面
使用http auth的场景不会用cookie，也就是说每次都会送帐号密码信息过去。然后我们都知道base64编码基本上等于明文。这削弱了安全。
由于种种缺点，http auth现在用的并不多。不过在路由器等场合还是有应用的，原因是http auth最简单，使用起来几乎是零成本。
在你需要做访问控制，又不想拖上SSO、数据库之类的东西的时候，http auth不失为一个简洁的选项。

 

 

http协议是无状态的， 浏览器和web服务器之间可以通过cookie来身份识别。 桌面应用程序(比如新浪桌面客户端， skydrive客户端)跟Web服务器之间是如何身份识别呢？

什么是HTTP基本认证

　　桌面应用程序也通过HTTP协议跟Web服务器交互， 桌面应用程序一般不会使用cookie, 而是把 "用户名+冒号+密码"用BASE64算法加密后的字符串放在http request 中的header Authorization中发送给服务端， 这种方式叫HTTP基本认证(Basic Authentication)

　　当浏览器访问使用基本认证的网站的时候， 浏览器会提示你输入用户名和密码，如下图

　　假如用户名密码错误的话， 服务器会返回401 如下图

　　HTTP基本认证的过程

　　第一步:  客户端发送http request 给服务器， 

　　第二步:  因为request中没有包含Authorization header,  服务器会返回一个401 Unauthozied给客户端，并且在Response的 header "WWW-Authenticate" 中添加信息。

　　第三步：客户端把用户名和密码用BASE64加密后，放在Authorization header中发送给服务器， 认证成功。

　　第四步：服务器将Authorization header中的用户名密码取出，进行验证， 如果验证通过，将根据请求，发送资源给客户端

　　使用Fiddler Inspectors 下的Auth 选项卡，可以很方便的看到用户名和密码:

　　HTTP基本认证的优点

　　HTTP基本认证，简单明了。Rest API 就是经常使用基本认证的。

　　每次都要进行认证

　　http协议是无状态的， 同一个客户端对 服务器的每个请求都要求认证。

　　HTTP基本认证和HTTPS

　　把 "用户名+冒号+密码" 用BASE64加密后的string虽然用肉眼看不出来， 但用程序很容易解密，上图可以看到Fiddler就直接给解密了。 所以这样的http request在网络上，如果用HTTP传输是很不安全的。 一般都是会用HTTPS传输，HTTPS是加密的,，所以比较安全。

　　HTTP OAuth认证

　　OAuth对于Http来说，就是放在Authorization header中的不是用户名密码， 而是一个token。

　　微软的Skydrive 就是使用这样的方式， 如下图： 

　　其他认证

　　除了基本认证(Basic Authentication), 还有摘要认证digest authentication, WSSE(WS-Security)认证

　　客户端的使用

　　客户端如果要跟“使用基本认证的网站”交互。 非常很简单，把用户名密码加在Authorization header中就可以了。

　　C#

string url = "https://testsite";
HttpWebRequest req = (HttpWebRequest)WebRequest.Create(url);
NetworkCredential nc = new NetworkCredential("username", "password");
req.Credentials = nc;

　　Linux下的curl

 

curl -u username:password https://testsite/

js的用法

//把登录的信息放在这个里面
$.cookie(kp.key_c_uid, 1, {expires: 1});
$.cookie(kp.key_c_auth, "Basic " + btoa(1+":"+"oyH1Vwk4vPXgub6UkxAr3wvmfD18"));


调接口的时候在方法前设置header信息
beforeSend: function (xhr) {
    if (authorization) {
        xhr.setRequestHeader("Authorization", authorization);
    }
},

var authorization = $.cookie(kp.key_c_auth);