1.Digest认证
各字段含义:
Nonce 服务器直接返回的数据
H1=MD5(user+”:”+realm+password)
H2=MD5(method+”:”+url) method为请求类型、url不包括域名
Nc 指当前的第几次请求,使用8位16进制显示
Cnonce 8位随机字符串
Response=MD5(H1+”:”+nonce+”:”+nc+”:”+cnonce+”:auth:”+H2)
2.token认证
流程:
- 客户端使用用户名和密码请求登录
- 服务端收到请求,验证用户名和密码
- 验证成功后,服务端会签发一个token,再把这个token返回给客户端
- 客户端收到token后可以把它存储起来,比如放到cookie中
- 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带
- 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据
如何保存摘要认证服务器返回的会话session?
不然每次都得进行摘要认证。
- 持久连接(Keep-Alive):使用持久连接可以避免每次请求都要重新建立连接和进行认证。在持久连接下,客户端和服务器之间的连接可以被重复使用,从而减少了认证的频率。
- 使用会话(Session):一旦进行了一次摘要认证,服务器可以创建一个会话并返回一个会话标识(Session ID)给客户端。客户端在后续的请求中可以通过发送该会话标识来进行身份验证,而不需要再次发送用户名和密码。
- 缓存认证信息:客户端可以在本地缓存上一次成功的摘要认证结果,在后续的请求中重复使用该认证信息,而不必再次向服务器发送认证请求。
- 延长摘要认证的有效期:服务器可以设置摘要认证信息的有效期,延长有效期可以减少频繁进行认证的次数。
需要注意的是,在实际应用中,为了安全起见,不建议将摘要认证信息长时间保存在客户端或者缓存中,因为这可能会增加安全风险。另外,以上提到的方法需要服务器和客户端之间进行协作和支持,具体的实现方式可能会依赖于具体的服务器框架和客户端技术。
