WWW-Authenticate的多个方案的分隔符是什么?
WWW-Authenticate是HTTP协议中的一个身份验证方案,用于验证用户的身份,以确定其对特定资源的访问权限。通常用于Web服务器的身份验证。
WWW-Authenticate方案使用401 Unauthorized状态码来表示未授权,在客户端显示未授权错误页面,同时要求用户输入相应的用户名和密码进行身份验证。常见的WWW-Authenticate方案包括BASIC、DIGEST、NTLM等。
BASIC认证方案是使用明文传输用户名和密码的方式,即用户名和密码都是明文传输的,因此安全性相对较低。DIGEST认证方案是一种使用摘要算法对用户名和密码进行加密的方式,安全性相对较高。NTLM认证方案是使用NTLM协议对用户名和密码进行加密的方式,也是一种安全性较高的认证方案。
分隔符一般使用realm和qop两个参数来指定认证方案。其中,realm参数指定了认证方案的领域(即使用该方案的服务器所在的领域),qop参数指定了认证方案的授权方式(即使用该方案的服务器支持的授权方式)。
常见的WWW-Authenticate方案包括BASIC、DIGEST、NTLM等。其中,BASIC认证方案使用明文传输用户名和密码,安全性较低;DIGEST认证方案使用摘要算法对用户名和密码进行加密,安全性较高;NTLM认证方案使用NTLM协议对用户名和密码进行加密,也是一种安全性较高的认证方案。
相关·内容
2回答
Python中的摘要身份验证?
python、authentication、ntlm、digest
我正在尝试使用python从我的公司服务器访问页面。第一个跟踪返回401: Unathorized(服务器确实需要域用户名/pwd进行身份验证)。标题内容如下,它似乎支持3种认证协议,协商,NTLM和摘要,所以在我的理解中,我可以选择它们中的任何一个,对吗?
Content-Type: text/html
Server: Microsoft-IIS/7.0
WWW-Authenticate: Negotiate
WWW-Authenticate: NTLM
WWW-Authenticate: Digest qop="auth",algorithm=MD5-sess,nonce=
浏览 0提问于2013-08-06得票数 7
回答已采纳
2回答
邮递员摘要授权请求返回401未授权
postman、http-status-code-401、digest
我在Chrome51.0.2704.63中使用Postman 4.4.1。我已经和Tomcat6建立了一个web项目,web.xml如下:
<web-app>
<display-name>Archetype Created Web Application</display-name>
<security-constraint>
<web-resource-collection>
<web-resource-name>
My App
浏览 0提问于2016-07-29得票数 1
1回答
无法获取IIS ISAPI Tomcat连接器以将基本身份验证传递给Tomcat
iis、authentication、tomcat、isapi-redirect
我们已经成功地使用isapi_redirect.dll将IIS配置为前端2个Tomcat实例。它做的每件事都很聪明,我们一直都很开心。但是,现在我们使用其中一个Tomcat实例通过AXIS提供web服务。这需要基本身份验证,而.NET客户端正在失败。
.NET客户端可以通过浏览到"site:8180“来绕过IIS,他们很好地使用
Java客户端可以攻击IIS,ISAPI传递它们,它们使用basic进行身份验证。
攻击IIS的.NET客户端无法使用相同的unpw进行身份验证。
Fiddler报告了这个会话:
HTTP/1.1 401 Unauthorized
Date: Wed, 0
浏览 3提问于2009-01-07得票数 1
回答已采纳
1回答
服务器是否决定要遵循哪种身份验证方法?
web-applications、security、kerberos、ntlm、ntlmv2
对于Web应用程序,是由服务器来决定要遵循哪种身份验证方法,还是由它来决定客户端。
是特定于浏览器的身份验证方法,如NTLM和Kerberos。
在intranet web应用程序中,与NTLM和Kerberos相比,BASIC和Diget处于什么位置?
谢谢您:)
浏览 2提问于2012-10-18得票数 0
回答已采纳
1回答
如何使用curl发送摘要身份验证请求?
xml、curl、soap、digest-authentication、nonce
在搜索指南时,我在维基百科上找到了这个例子
GET /dir/index.html HTTP/1.0
Host: localhost
Authorization: Digest username="Mufasa", realm="testrealm@host.com", nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", uri="/dir/index.html",
qop=auth,
nc=00000001,
cnonce="0a4f113b",
response="6
浏览 22提问于2020-08-01得票数 1
回答已采纳
1回答
HTTP摘要身份验证中的缺陷
authentication、http、man-in-the-middle、md5
我正在翻阅我的课本,我遇到了这样的问题:
下面是浏览器响应使用HTTP摘要身份验证访问受密码保护的网页的消息格式。
GET URI HTTP/1.1
Host: URL
...
Authorization: Digest username="UserName", realm="Realm", nonce="Nonce",
uri="URI", algorithm=MD5, response="Response", qop=QoP, nc=NonceCount,
cnonce="ClientNonce"
浏览 0提问于2015-10-15得票数 2
1回答
逐步理解NTLM认证
authentication、ntlm
我在ASP.Net认证与授权上阅读了这个链接,这5个步骤解释了NTLM身份验证。
客户端向服务器发送用户名和密码。
服务器发送一个挑战。
客户端以24字节的结果响应挑战。
服务器通过与域控制器联系检查响应是否正确计算。
如果一切正常,它就会批准请求。
问题:
我无法理解在客户端发送用户名和密码之后发生了什么。特别是单词“质询”和"24字节结果“。
在向服务器发送用户名/密码时,采用哪种加密方法?
浏览 0提问于2016-07-12得票数 10
回答已采纳
1回答
电子邮件(SMTP/POP)密码的安全性
authentication
在我的客户端邮件应用程序(ThunderBird)中,我选择了使用STARTTLS的SMTP,使用SSL/TLS的POP (或POP3)。据我所知,这是为邮件内容从我的客户端应用程序到我的ISP邮件服务器。
我的问题是这个连接到邮件服务器的安全性,即ThunderBird的连接安全性下拉选项是:无身份验证、普通密码、加密密码、Kerberos / GSSAPI、NTLM和OAuth2。ThunderBird还可以探测我的电子邮件服务器,看看它能在它的终端上遵守或实现什么。我在服务器上找到的只是“普通密码”。
因此,很明显,我的电子邮件服务器没有提供加密连接,我推测我的密码可以被有足够技能的人看
浏览 0提问于2018-11-28得票数 5
1回答
使用Javascript XMLHttpRequest的摘要身份验证
javascript、hash、xmlhttprequest、digest-authentication
我正在尝试使用使用摘要式身份验证的API进行身份验证。
我正在向服务器发送POST请求,但返回的响应是HTTP 401 Denied。这是来自服务器的WWW-Authenticate质询标头:
(包含反斜杠用于格式化,在响应报头中不存在)
WWW-Authenticate: Digest realm="Guard", domain="/", \
nonce="MTMzOTA5Mjk1NTE2NDo0NzY2NjJiOTgyMjE1ZDc0OWU3NzM5MTkzMWNjNGQzNw==", \
algorithm=MD5, qop=&
浏览 0提问于2012-06-08得票数 8
回答已采纳
2回答
如何将基本HTTP授权的凭据存储到服务器端的数据库中?
php、rest、authentication、basic-authentication
为了学习,我创建了一个简单的PHP应用程序,它实现了一个具有基本身份验证机制的web服务。我知道基本身份验证不是最好的机制,但在开始使用OAuth2.0或其他什么之前,我只想从这个机制开始。
我目前的环境是这样的:
多个客户端仅通过https连接以JSON表示形式提供数据。
客户端1:
客户端2:
..。
这些资源通过基本身份验证标头受到保护,客户端仅在凭据有效时才提供数据:
public function provideData()
{
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header(
浏览 3提问于2017-11-04得票数 3
回答已采纳
2回答
具有www认证的Basicrealm=“安全区域”的www
jmeter、www-authenticate
我正在使用Jmeter进行性能测试,当我试图重放请求时,我将得到以下响应头
我正在使用,其中包含以下信息:基本url - example.com用户名-用户名-密码类域- example.com:80领域- Mech - Basic_digest
正文大小(以字节为单位):0示例计数:1错误计数:1响应代码: 401响应消息:未经授权
响应头:HTTP/1.0401未经授权的WWW-身份验证:基本realm=“安全区域”服务器: BigIP连接:保持活动内容长度:0
关于我应该尝试什么不同的想法
谢谢
浏览 3提问于2015-03-12得票数 0
1回答
理解NTLM认证
encryption、authentication、encoding
水流是这样的。
客户端发送GET到服务器
服务器响应401未经授权和身份验证协议: NTLM
客户端重新发送包含身份验证信息的请求。
我还是不明白。客户端在第三步到底发送了什么?密码?如果是,它使用什么编码?用户名应该以纯文本发送,但我没有看到。以下是HTTP头:
获取http://example.com
HTTP/1.1 401未经授权。WWW认证:谈判。WWW-认证: NTLM
获取YIIPQwYGKwYBBQUCoIIPNzCCDzOgMDAuBgkqhki...UMVM=安全性:授权:协商http://example.com
在第三步,我剪掉了一部分文字,因为它太长了。
浏览 0提问于2018-02-08得票数 1
回答已采纳
1回答
菲尔斯特吉恩REST服务器
codeigniter、rest
最近,我下载了 for CodeIgniter。我查看了源代码,当我谈到Digest身份验证时,我看到了以下代码:
if ($this->input->server('PHP_AUTH_DIGEST'))
{
$digest_string = $this->input->server('PHP_AUTH_DIGEST');
}
elseif ($this->input->server('HTTP_AUTHORIZATION'))
{
$digest_string = $this->inpu
浏览 4提问于2013-05-07得票数 4
1回答
Symfony2 + FOSUserBundle: http_basic身份验证工作,http_digest失败
symfony、basic-authentication、http-digest
我正在使用Symfony2配置一个FOSUserBundle应用程序以使用http_digest身份验证。这与Symfony 2.1.0-BETA2 2有关。
在security.yml中,我只需为http_digest切换http_basic并添加所需的key属性。其他一切都保持不变。
工作的相关配置:
firewalls:
main:
pattern: ^/
anonymous: ~
form_login: false
provider: fos_user_bundle
浏览 6提问于2012-07-13得票数 4
1回答
Jmeter摘要身份验证
jmeter、digest-authentication
可以在jmeter中使用digest auth吗? 当服务器使用auth报头应答401时 (etc: WWW_Authenticate :SP摘要realm="SD摘要身份验证领域“,qop="auth",etc 客户端的第一个请求,然后客户端必须重新发送具有正确格式的auth报头的原始请求吗? 我尝试在HTTP client 4中使用http Authorization Manager,但没有成功。 Jmeter不会发送任何auth头部,也不会重复原始请求。 ? ? ?
浏览 36提问于2021-07-02得票数 0
2回答
APOP与POP的区别
email、encryption、network-protocols
我正在浏览电子邮件应用程序中使用的协议(特别是POP和APOP),我碰巧在某个地方遇到了这个答案。上面写着
认证邮局协议的缩写,它类似于POP协议,只是APOP允许您的密码在通过网络传输时被加密。使用POP邮件时,当您在电子邮件客户端中验证您的用户名和密码时,您的密码将以纯文本形式通过网络发送。如果您的电子邮件客户端使用APOP,则在传输时对密码进行加密.APOP阻止黑客使用嗅探程序查看您的密码信息。
我的问题是:这是APOP和POP的主要区别吗?当使用POP协议时,密码是否未加密?若否,会否引起安全问题?
浏览 4提问于2013-12-26得票数 6
回答已采纳
3回答
使用方案摘要未经授权的Web服务HTTP请求
c#、wcf、webservice-client、digest-authentication
我的C#客户端的web服务调用出现了一些问题。它偶尔会返回以下错误:
WWW-Authenticate: Basic realm="[SomeRealm]"'. --->
System.ServiceModel.Security.MessageSecurityException:
The HTTP request is unauthorized with client authentication scheme 'Digest'.
The authentication header received from the server was &#
浏览 2提问于2013-08-13得票数 0
回答已采纳
5回答
如何删除不需要的WWW-Authenticate标头
asp.net-mvc-3、iis-7、icalendar、plesk
我从一个MVC应用程序中获取了一个带身份验证的iCal订阅,下面是对这个SO问题的回答:
使用DDay.iCal库从数据库中的事件动态创建iCal流。
这个解决方案在本地开发服务器上运行良好: OSX Calendar和Outlook都可以订阅和接收应用程序的更新。
但是,在我的web主机上的共享服务器上,Calendar和Outlook的身份验证都失败了。也就是说,在(正确的)失败后,它们都会一直要求我提供用户名和密码。
编辑:如果我将浏览器指向日历URL,它也无法通过身份验证。
编辑:获取怪人-火狐验证并获取iCal文件。Safari、Chrome和IE无法通过身份验证。
如果我使用相同
浏览 3提问于2012-10-23得票数 4
2回答
当使用Java发送WW验证摘要身份验证的头时,客户端不返回结果。
java、http、tomcat、curl、sha
我正在开发一个执行Digest身份验证的Web,但是当我将消息摘要算法设置为SHA-256时,客户端似乎崩溃了。服务器端实现有什么问题吗?
语言: Java,Server: Tomcat7.0操作系统: Windows 10,用于服务器和客户端
摘要身份验证不使用tomcat的web.xml、server.xml或tomcat-users.xml设置,而是在Servlet中实现发送WWW-身份验证头和接收授权头。此时,如果使用MD5作为摘要的算法,身份验证将成功,但如果您更改为SHA-256,因为它是不推荐的,客户端将不会在发送WW-身份验证标头后返回结果。
WWW认证:文摘领域= "
浏览 1提问于2021-08-01得票数 1
1回答
自定义web认证方案
authentication、web-service、rest
对于一个正在工作的项目,我目前正在实现一个不太大的webservice。出于学习一些新东西的原因,我尝试将它变成REST服务,这就引发了身份验证的问题。我最终决定使用HTTP,因为它的好处是几乎所有HTTP库都支持它,尽管我必须自己实现服务器端。
昨天,一位同事建议我应该直接发送散列密码而不是用户名和密码(最终只能通过HTTPS访问该服务,因此我认为Basic Auth并不是一个安全问题,但我们暂时不要考虑这个问题)。但我想知道,从安全的角度来看,它实际上会改变什么。
发送散列密码基本上意味着bcrypt哈希,因为这就是我们存储在数据库中的内容。这意味着我必须首先向客户端发送工作因子和salt
浏览 0提问于2013-08-02得票数 5
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
活动推荐
腾讯云开发者
