文章目录
- 一、什么是摘要认证
- 二、工作流程
- 三、实例演示
一、什么是摘要认证
摘要认证,即 Digest Access Authentication,是一种HTTP身份验证机制,用于验证用户的身份。相较于基本认证(Basic Authentication)使用用户名密码的方式,提供了更高的安全性和灵活性。
二、工作流程
HTTP Digest Access Authentication 的工作流程如下:
- 客户端发送一个未经认证的请求到服务器
- 服务器返回一个 HTTP 401 Unauthorized 响应,其中包含一个 “WWW-Authenticate” 头部字段,用来表示所使用的认证方式(通常是 Digest),以及一些额外的参数,如 realm(领域)、nonce(随机数)等
- 客户端收到 401 响应后,会根据服务器提供的信息,计算出一个摘要(digest)。客户端将摘要信息添加到请求中的 “Authorization” 头部字段中,重新发送请求到服务器
- 服务器收到带有摘要的请求后,会使用相同的算法计算出一个期望的摘要,并与客户端提供的摘要进行比较。如果两者一致,则服务器会接受该请求,返回请求的资源;否则,服务器拒绝请求,可能返回 401 或其他适当的响应
三、实例演示
客户端调用服务器 API 发送请求:
class CHttpRequest : public QObject {Q_OBJECTpublic:int sendFile(const QString &strUrl, QString &strFile, QString &strAuth, QString &recvMessage) {m_bNeedAuth = false;disconnect(m_pNetworkManager, SIGNAL(finished(QNetworkReply *)), this, SLOT(slot_requestFinished(QNetworkReply *))); // 请求完成信号connect(m_pNetworkManager, SIGNAL(finished(QNetworkReply *)), this, SLOT(slot_requestRet_Syn(QNetworkReply *)));// 构造请求头QNetworkRequest netRequest(strUrl);QString boundary = "----WebKitFormBoundaryyYCL2Hd3ZwCR4KhI";QString contenType = "multipart/form-data; boundary=" + boundary;netRequest.setHeader(QNetworkRequest::ContentTypeHeader, contenType);if (strAuth != "") {netRequest.setRawHeader("Authorization", strAuth.toLatin1());}// 打开文件QFile file(strFile);if (!file.open(QIODevice::ReadOnly)) {return -1;}// 构建请求数据strFile.remove(0, strFile.lastIndexOf('/') + 1);QString text = "Content-Disposition: form-data; name=\"fimage\"; filename=\"" + strFile + "\"\r\n";QByteArray data;data.append("--" + boundary + "\r\n");data.append(text);data.append("Content-Type: application/octet-stream\r\n\r\n");data.append(file.readAll());data.append("\r\n--" + boundary + "--\r\n");// 发送POST请求m_pNetworkReply = m_pNetworkManager->post(netRequest, data);// ...省略部分代码recvMessage = this->m_strRet;if (m_bNeedAuth) {return 401;}return m_loop_flag;}public slots:// 接收服务器返回信息void slot_requestRet_Syn(QNetworkReply *reply) {// ...省略部分代码QByteArray resultContent = reply->readAll();QTextCodec *pCodec = QTextCodec::codecForName("UTF-8");QString strResult = pCodec->toUnicode(resultContent);int nHttpCode = reply>attribute(QNetworkRequest::HttpStatusCodeAttribute).toInt(); // http返回码if (nHttpCode == 200) { // 请求成功} else if (nHttpCode == 401) { // 请求失败,想要认证// 获取服务器返回的WWW-Authenticate认证信息QList<QByteArray> headers = reply->rawHeaderList();for (QList<QByteArray>::const_iterator iter = headers.constBegin(); iter != headers.constEnd(); ++iter) {qDebug() << *iter << ":" << reply->rawHeader(*iter);QString msg = *iter;if (msg.contains("WWW-Authenticate")) {strResult = reply->rawHeader(*iter);}}} else { // 其他错误}}public:// 计算验证信息的函数,这里的计算规则是我这台服务的规定,大家处理的时候要根据自己服务器的规则去处理QString reAuthenticate(QString &strUrl, QString &strUser, QString &strPsw, QString &httpHeadFromServer) {QString realm, qop, nonce, opaque;int lastIndex = httpHeadFromServer.lastIndexOf("Digest realm=");httpHeadFromServer = httpHeadFromServer.mid(lastIndex);realm = httpHeadFromServer.section("realm=\"", 1, 1).split('"').first();qop = httpHeadFromServer.section("qop=\"", 1, 1).split('"').first();nonce = httpHeadFromServer.section("nonce=\"", 1, 1).split('"').first();opaque = httpHeadFromServer.section("opaque=\"", 1, 1).split('"').first();QString A1 = strUser + ":" + realm + ":" + strPsw;QByteArray hashedA1 = QCryptographicHash::hash(A1.toUtf8(), QCryptographicHash::Sha256);QString strHashA1 = hashedA1.toHex();QString A2 = "POST:" + strUrl;QByteArray hashedA2 = QCryptographicHash::hash(A2.toUtf8(), QCryptographicHash::Sha256);QString strHashA2 = hashedA2.toHex();QString response = strHashA1 + ":" + nonce + ":00000001:b985236c7eb52970:auth:" + strHashA2;QByteArray hashedRes = QCryptographicHash::hash(response.toUtf8(), QCryptographicHash::Sha256);QString strRes = hashedRes.toHex();QString strAuth = " Digest username=\"" + strUser + "\", realm=\"" + realm + "\", nonce=\"" + nonce + "\", uri=\"" +strUrl + "\", algorithm=SHA-256, response=\"" + strRes + "\", opaque=\"" + opaque + "\", qop=" + qop +", nc=00000001, cnonce=\"b985236c7eb52970\"";return strAuth; // 处理好的认证信息}
};int main() {QString strAuth = "";CHttpRequest checkRequest;QString strURL = "http://172.16.26.165/setup/system/update.php?app=set";int ret = checkRequest.sendFile(strURL, strTmpFile, strAuth, strRecv); // 第一次调用API时,认证信息strAuth是空的if (ret == 401) { // 服务器返回401QString url = "/setup/system/update.php?app=set";QString user = "admin";QString psw = "12345";strAuth = checkRequest.reAuthenticate(url, user, psw, strRecv); // 根据服务器定的规则,计算验证信息// 使用计算出来的验证信息,重新请求APICHttpRequest checkRequest2;if (checkRequest2.sendFile(strURL, strTmpFile, strAuth, strRecv) != -1) {emit msgUpgradeSta(this, Upgrade_Success);} else {emit msgUpgradeSta(this, Upgrade_Fail);}return 0;}return 0;
}
如上代码,客户端想通过 HTTP POST 请求,发送一个文件给服务器。第一次调用 API 的时候,没有带上验证信息 Authorization,服务器返回 401 错误,并且在返回的 HTTP 头部信息中带有 WWW-Authenticate 认证信息:
HTTP/1.1 401 Unauthorized
Set-Cookie: PHPSESSID=984d2f37f1611d4848518ca643ccbfa0; path=/; HttpOnly
Set-Cookie: PHPSESSID=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; Max-Age=0; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
WWW-Authenticate: Digest realm="N5M-6S335",algorithm="MD5",qop="auth",nonce="6444da9264a78",opaque="51d97021ccdf09ef7a8da27e8193cabf"
WWW-Authenticate: Digest realm="N5M-6S335",algorithm="SHA-256",qop="auth",nonce="6444da9264a78",opaque="51d97021ccdf09ef7a8da27e8193cabf"
Content-type: text/html; charset=UTF-8
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Content-Length: 0
Date: Sun, 23 Apr 2023 07:13:21 GMT
Server: WintenDolighttpd/1.4.67
在 slot_requestRet_Syn 函数中截取 WWW-Authenticate 的内容(可以看到有两种加密方式,MD5 和 SHA-256)。获取到需要的验证信息后,main 函数调用 reAuthenticate 函数,根据服务器定的规则进行验证信息的处理,这里选择 SHA-256 的加密方式,所以代码里截取出WWW-Authenticate: Digest realm="N5M-6S335",algorithm="SHA-256",qop="auth",nonce="6444da9264a78",opaque="51d97021ccdf09ef7a8da27e8193cabf
这一行信息,再分别截取出 realm、qop 等等这些字段,根据规则进行 SHA-256 加密,最终得出认证信息。最后,main 函数重新发送 HTTP 请求,在请求头的 Authorization 字段加上这串验证信息:
这样,就可以成功请求服务器了。文中用到的 HTTP 请求类,可以到点击这里下载。