hacker

Basic and Digest Access Authentication

HTTP Authentication: Basic và Digist Access Authentication RFC 2617 thay thế RFC 2069

Vị trí của nó

HTTP Authentication là một phần của HTTP-Protocol. HTTP Protocol ở tại Layer 5/Layer 6
(Chính xác layer 5 và 6 là gì)

Tổng quan / Mục đích

HTTP Authentication cung cấp một cơ chế để yêu cầu một username và password để truy cập tài nguyên web

HTTP Authentication được khởi tạo bởi web server hoặc một external cgi-script
(external cgi-script là gì)

Có 2 mô hình hiện tại có sẵn trong HTTP 1.1 protocol, là “Basic” và “Digist” Access Authentication

Basic Access Authentication

Ví dụ một HTTP Header:

1
2
3
4
5
6
7
GET /download/report.doc HTTP/1.1
Accept: application/msword, */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: 10.0.0.5:81
Connection: Keep-Alive

Khi nhận được request server sẽ đọc file cấu hình:

Server chỉ cho phép truy cập các người dùng đã biết

Server gửi HTTP 401 Authorization yêu cầu Response Error page :

1
2
3
4
5
6
7
8
HTTP/1.1 401 Authorization Required
Date: Tue, 22 Jun 2004 03:54:06 GMT
Server: Apache/1.3.29 (Unix)
WWW-Authenticate: Basic realm="Protected"
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=iso-8859-1

Bây giờ trình duyệt sẽ hiển thị Username/Password prompt hiển thị host name và authentication realm

Nếu Người dùng ấn cancel-Button thì