什么是摘要认证？

Question

摘要式身份验证与基本身份验证有什么不同，除了以纯文本形式发送凭据外？

Answer 1

的主要区别是，它不需要以纯文本形式通过线路发送的用户名和密码。它也不受重播攻击的影响，因为它使用来自服务器的一次性号码。

服务器向客户端提供与用户名，域，密码和URI请求相结合的一次性使用号码（随机数）。客户端通过MD5哈希方法运行所有这些字段以生成哈希键。

它将此散列密钥与用户名和领域一起发送到服务器以尝试进行身份验证。

服务器端使用相同的方法生成hashkey，而不是使用输入到浏览器的密码，服务器从用户数据库中查找用户的预期密码。它查找此用户名的存储密码，通过相同的算法运行并将其与客户端发送的内容进行比较。如果它们匹配，则授予访问权限，否则它可以发回401 Unauthorized（未登录或失败登录）或403 Forbidden（拒绝访问）。

摘要式验证是standardized in RFC2617。有一个nice overview of it on Wikipedia：

你可以认为它像这样：

1. 客户端发出请求
2. 客户回来从服务器现时和401的认证请求
3. 客户端返回以下响应数组（用户名，领域，generate_md5_key（随机数，用户名，realm，URI，password_given_by_user_to_browser））（是的，这是非常简化）
4. 服务器接受用户名和领域（加上它知道客户端请求的URI），它厕所k取得该用户名的密码。然后它自动执行generate_md5_key（nonce，username，realm，URI，password_I_have_for_this_user_in_my_db）
5. 它将generate_md5（）的输出与客户端发送的输出进行比较，如果它们与客户端发送的正确匹配密码。如果它们不匹配，则发送的密码错误。

Answer 2

凭证的哈希通过线路发送。

HA1 = MD5(username:realm:password) 

Wikipedia has an excellent article on this topic

Answer 3

获取证书哈希值HA1的唯一方法是知道密码。服务器知道HA1但不知道生成它的密码。如果攻击者知道HA1可以进入系统。所以它不会被发送出去。基于nonce等的进一步散列在完成之前完成，并且这必须与在服务器上完成的类似计算一致。因此，只要服务器保持HA1私密，系统就是安全的。