概述

最近對http很感興趣，於是開始看《http權威指南》。別人都說這本書有點老了，而且內容太多。我個人覺得這本書寫的太好了，非常長知識，讓你知道關於http的很多概念，不僅告訴你怎麽做，還告訴你為什麽這麽做。於是我把學到的知識點記錄下來，供以後開發時參考，相信對其他人也有用。

基本認證機制

1.http提供了一個原生的質詢/響應框架，簡化了對用戶的認證過程。web應用程序收到一條http請求報文時，服務器沒有按照請求執行動作，而是以一個“認證質詢”進行響應，要求用戶提供一些保密信息來說明他是誰，從而對其進行質詢。用戶再次發起請求時，要附上保密證書（用戶名和密碼）。如果證書不匹配，服務器可以再次質詢客戶端，或產生一條錯誤信息。如果證書匹配，就可以正常完成請求了。

2.http定義了兩個官方的認證協議：基本認證和摘要認證。今後人們可以隨意涉及一些使用http質詢/響應框架的新協議。

3.WWW-Authenticate質詢中包含一個realm指令，表示一個安全域，每個安全域都可以有不同的授權用戶集。

4.基本認證：服務器會拒絕一個事務，並返回401狀態碼，而不是200狀態碼來初始化認證質詢，並用WWW-Authenticate響應首部指定要訪問的安全域。瀏覽器收到質詢時，會打開一個對話框，請求用戶輸入這個域的用戶名和密碼。然後將用戶名和密碼稍加擾碼，再用Authentication請求首部回送給服務器。

5.http基本認證將（由冒號分隔的）用戶名和密碼打包在一起，並用Base-64編碼方式

6.中間的代理服務器也可以實現認證功能。通過代理服務器提供對某組織內部資源的統一訪問控制是一種很便捷的方式。

7.基本認證的缺陷：

• 基本認證會通過網絡發送用戶名和密碼，這些用戶名和密碼都是以一種很容易解碼的形式表示的。
• 即使密碼是以更難解碼的方式加密，第三方用戶仍然可以捕獲被修改過的用戶名和密碼，並將修改過的用戶名和密碼一次一次地重放給原始服務器。
• 即使將基本認證用於一些不太重要的應用程序，一些不良習慣也會讓它變得很危險。比如很多用戶都會使用相同的用戶名和密碼，黑客就可以從基本認證獲取用戶名和密碼，然後發現可以用它們來訪問重要的在線銀行網站。
• 基本認證沒有提供針對代理的防護措施。
• 假冒服務器很容易騙過基本認證。

8.即使如此，基本認證還是有用武之地的，比如在公司內網實行權限控制；或者將基本認證與SSL配合使用，隱藏用戶名和密碼，會使基本認證變得更加安全。

《http權威指南》讀書筆記11