有数百万的人在用 Web 进行私人事务处理,访问私有的数据。通过 Web 可以很方便地访问这些信息,但是仅仅是方便访问还是不够的。我们要保证只有特定的人能看到我们的敏感信息并且能够执行我们的特权事务。并不是所有的信息都能够公开发布的。服务器需要通过某种方式来了解用户身份。一旦服务器知道了用户身份,就可以判定用户可以访问的事务和资源了。通常是以提供用户名和密码的方式来进行认证的。基本认证(Basic Authentication)是 HTTP 提供的一种原生的质询/响应框架,它简化了对用户的认证过程。
基本认证的步骤
上图描述了一个基本认证的过程:
- 客户端发送一条没有认证信息的请求(参见上图 (a))。
- 服务器需要对用户进行质询,返回了一条 401 Unauthorized 响应,并在 WWW-Authenticate 首部说明如何以及在哪里进行认证(参见上图 (b))。
- 客服端程序发出请求,但会在 Authentication 首部附上加密的密码和其他一些认证参数(参见上图 (c))。
- 授权请求成功完成时,服务器会返回一个正常的状态码(比如,200 OK);对高级认证算法来说,可能还会在 Authentication-Info 首部附上一些额外的信息(参见上图 (d))。
安全域
上图的 WWW-Authenticate 质询中包含了一个 realm 指令。 Web 服务器会将受保护的文档组织成一个安全域(security realm)。每个安全域都可以有不同的授权用户集。
Base-64 编码
HTTP 基本认证将(由冒号分隔的)用户名和密码打包在一起,并用 Base-64 编码方式对其进行编码。下图显示了使用 Base-64 编码的基本认证实例:
代理认证
中间的代理服务器也可以实现认证功能。有些组织会在用户访问服务器、LAN 或无线网络之前,用代理服务器对其进行认证。可以在代理服务器上对访问策略进行集中管理,因此,通过代理服务器提供对某组织内部资源的统一访问控制是一种很便捷的方式。这个过程的第一步就是通过代理认证来识别身份。
代理认证的步骤与 Web 服务器身份验证的步骤相同。但首部和状态码都有所不同。下表列出了 Web 服务器和代理在认证中使用的状态码和首部的差异。
Web 服务器 | 代理 |
Authorized status code: 401 | Authorized status code: 407 |
WWW-Authenticate | Proxy-Authenticate |
Authorization | Proxy-Authorization |
Authorization-Info | Proxy-Authorization-Info |