1.HTTP质询/响应认证框架

服务器收到一条请求并没有按照请求执行动作,而是以一个认证质询执行响应,要求用户提供一个保密信息说明他是谁,当用户再次发送请求时要附上保密证书,如果证书匹配则执行请求,否则返回一条错误信息

2.认证协议与首部

官方的两个认证协议:

基本认证、摘要认证

步骤：

3.安全域

HTTP怎样允许服务器为不同的资源使用不同的访问权限?

www-Authenticate质询中包含了一个realm指令,Web服务器会将受保护的文档组织成    一个安全域，每个安全域可以有不同的授权用户集

二、基本认证

1.基本认证实例

2.Base-64用户名/密码编码

Base-64:将一些8位字节序列转换为一些6位的块,每个6位的块在一个特殊的由64个字符组成的字母表中选择一个字符

3.代理认证

三、基本认证安全缺陷

1.会通过网络发送用户名和密码,容易被破解

2.第三方容易捕获密码

3.用户可能会在多个帐号使用同样的用户名和密码,会导致用户其他账户的安全问题

4.没有提供任何针对代理和作为中间人的中间节点的防护措施，没有修改认证首部,

却修改了报文的其余部分，严重改变了事务的本质

5.假冒服务器很容易骗过基本认证