摘要认证

注意：

在现代应用程序中不应该使用摘要认证，因为它不被认为是安全的。最明显的问题是你必须以明文或加密或 MD5 格式存储密码。所有这些存储格式都被认为是不安全的。相反，你应该使用单向自适应密码哈希（如 bCrypt、PBKDF2、SCrypt 等）来存储凭据，而这是摘要认证不支持的。

摘要认证试图解决基本认证的许多弱点，特别是确保凭据永远不会以明文形式通过网络传输。许多浏览器支持摘要认证。

HTTP摘要认证的标准由RFC 2617定义，它更新了由RFC 2069规定的早期版本的摘要认证标准。大多数用户代理实现了RFC 2617。Spring Security对摘要认证的支持与RFC 2617规定的“auth”质量保护（qop）兼容，并提供了与RFC 2069的向后兼容性。如果需要使用未加密的HTTP（无TLS或HTTPS）并希望最大程度地提高认证过程的安全性，摘要认证被视为更有吸引力的选项。然而，每个人都应该使用HTTPS。

摘要认证的核心是“nonce”（一次性随机数）。这是服务器生成的一个值。Spring Security的nonce采用以下格式：

base64(expirationTime + "