HTTP 摘要认证

文章目录


一、什么是摘要认证

摘要认证,即 Digest Access Authentication,是一种HTTP身份验证机制,用于验证用户的身份。相较于基本认证(Basic Authentication)使用用户名密码的方式,提供了更高的安全性和灵活性。

二、工作流程

HTTP Digest Access Authentication 的工作流程如下:

  1. 客户端发送一个未经认证的请求到服务器
  2. 服务器返回一个 HTTP 401 Unauthorized 响应,其中包含一个 "WWW-Authenticate" 头部字段,用来表示所使用的认证方式(通常是 Digest),以及一些额外的参数,如 realm(领域)、nonce(随机数)等
  3. 客户端收到 401 响应后,会根据服务器提供的信息,计算出一个摘要(digest)。客户端将摘要信息添加到请求中的 "Authorization" 头部字段中,重新发送请求到服务器
  4. 服务器收到带有摘要的请求后,会使用相同的算法计算出一个期望的摘要,并与客户端提供的摘要进行比较。如果两者一致,则服务器会接受该请求,返回请求的资源;否则,服务器拒绝请求,可能返回 401 或其他适当的响应

三、实例演示

客户端调用服务器 API 发送请求:

cpp 复制代码
class CHttpRequest : public QObject {
    Q_OBJECT
    
   public:
    int sendFile(const QString &strUrl, QString &strFile, QString &strAuth, QString &recvMessage) {
        m_bNeedAuth = false;
        disconnect(m_pNetworkManager, SIGNAL(finished(QNetworkReply *)), this, SLOT(slot_requestFinished(QNetworkReply *)));  // 请求完成信号
        connect(m_pNetworkManager, SIGNAL(finished(QNetworkReply *)), this, SLOT(slot_requestRet_Syn(QNetworkReply *)));
        // 构造请求头
        QNetworkRequest netRequest(strUrl);
        QString boundary = "----WebKitFormBoundaryyYCL2Hd3ZwCR4KhI";
        QString contenType = "multipart/form-data; boundary=" + boundary;
        netRequest.setHeader(QNetworkRequest::ContentTypeHeader, contenType);
        if (strAuth != "") {
            netRequest.setRawHeader("Authorization", strAuth.toLatin1());
        }
        // 打开文件
        QFile file(strFile);
        if (!file.open(QIODevice::ReadOnly)) {
            return -1;
        }
        // 构建请求数据
        strFile.remove(0, strFile.lastIndexOf('/') + 1);
        QString text = "Content-Disposition: form-data; name=\"fimage\"; filename=\"" + strFile + "\"\r\n";
        QByteArray data;
        data.append("--" + boundary + "\r\n");
        data.append(text);
        data.append("Content-Type: application/octet-stream\r\n\r\n");
        data.append(file.readAll());
        data.append("\r\n--" + boundary + "--\r\n");
        // 发送POST请求
        m_pNetworkReply = m_pNetworkManager->post(netRequest, data);
       
        // ...省略部分代码
   
        recvMessage = this->m_strRet;
        if (m_bNeedAuth) {
            return 401;
        }
        return m_loop_flag;
    }

   public slots:
    // 接收服务器返回信息
    void slot_requestRet_Syn(QNetworkReply *reply) {
        // ...省略部分代码
        QByteArray resultContent = reply->readAll();
        QTextCodec *pCodec = QTextCodec::codecForName("UTF-8");
        QString strResult = pCodec->toUnicode(resultContent);
        int nHttpCode = reply>attribute(QNetworkRequest::HttpStatusCodeAttribute).toInt(); // http返回码
        if (nHttpCode == 200) {  // 请求成功

        } else if (nHttpCode == 401) {  // 请求失败,想要认证
            // 获取服务器返回的WWW-Authenticate认证信息
            QList<QByteArray> headers = reply->rawHeaderList();
            for (QList<QByteArray>::const_iterator iter = headers.constBegin(); iter != headers.constEnd(); ++iter) {
                qDebug() << *iter << ":" << reply->rawHeader(*iter);
                QString msg = *iter;
                if (msg.contains("WWW-Authenticate")) {
                    strResult = reply->rawHeader(*iter);
                }
            }
        } else {  // 其他错误

        }
    }
    
   public:
    // 计算验证信息的函数,这里的计算规则是我这台服务的规定,大家处理的时候要根据自己服务器的规则去处理
    QString reAuthenticate(QString &strUrl, QString &strUser, QString &strPsw, QString &httpHeadFromServer) {
        QString realm, qop, nonce, opaque;
        int lastIndex = httpHeadFromServer.lastIndexOf("Digest realm=");
        httpHeadFromServer = httpHeadFromServer.mid(lastIndex);

        realm = httpHeadFromServer.section("realm=\"", 1, 1).split('"').first();
        qop = httpHeadFromServer.section("qop=\"", 1, 1).split('"').first();
        nonce = httpHeadFromServer.section("nonce=\"", 1, 1).split('"').first();
        opaque = httpHeadFromServer.section("opaque=\"", 1, 1).split('"').first();

        QString A1 = strUser + ":" + realm + ":" + strPsw;
        QByteArray hashedA1 = QCryptographicHash::hash(A1.toUtf8(), QCryptographicHash::Sha256);
        QString strHashA1 = hashedA1.toHex();

        QString A2 = "POST:" + strUrl;
        QByteArray hashedA2 = QCryptographicHash::hash(A2.toUtf8(), QCryptographicHash::Sha256);
        QString strHashA2 = hashedA2.toHex();

        QString response = strHashA1 + ":" + nonce + ":00000001:b985236c7eb52970:auth:" + strHashA2;
        QByteArray hashedRes = QCryptographicHash::hash(response.toUtf8(), QCryptographicHash::Sha256);
        QString strRes = hashedRes.toHex();

        QString strAuth = " Digest username=\"" + strUser + "\", realm=\"" + realm + "\", nonce=\"" + nonce + "\", uri=\"" +
            strUrl + "\", algorithm=SHA-256, response=\"" + strRes + "\", opaque=\"" + opaque + "\", qop=" + qop +
            ", nc=00000001, cnonce=\"b985236c7eb52970\"";
        return strAuth;  // 处理好的认证信息
    }
};

int main() {
    QString strAuth = "";
    CHttpRequest checkRequest;
    QString strURL = "http://172.16.26.165/setup/system/update.php?app=set";
    int ret = checkRequest.sendFile(strURL, strTmpFile, strAuth, strRecv);  // 第一次调用API时,认证信息strAuth是空的
    if (ret == 401) {  // 服务器返回401
            QString url = "/setup/system/update.php?app=set";
            QString user = "admin";
            QString psw = "12345";
            strAuth = checkRequest.reAuthenticate(url, user, psw, strRecv);  // 根据服务器定的规则,计算验证信息
            // 使用计算出来的验证信息,重新请求API
            CHttpRequest checkRequest2;
            if (checkRequest2.sendFile(strURL, strTmpFile, strAuth, strRecv) != -1) {
                emit msgUpgradeSta(this, Upgrade_Success);
            } else {
                emit msgUpgradeSta(this, Upgrade_Fail);
            }
            return 0;
        }
    return 0;
}

如上代码,客户端想通过 HTTP POST 请求,发送一个文件给服务器。第一次调用 API 的时候,没有带上验证信息 Authorization,服务器返回 401 错误,并且在返回的 HTTP 头部信息中带有 WWW-Authenticate 认证信息:

bash 复制代码
HTTP/1.1 401 Unauthorized
Set-Cookie: PHPSESSID=984d2f37f1611d4848518ca643ccbfa0; path=/; HttpOnly
Set-Cookie: PHPSESSID=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; Max-Age=0; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
WWW-Authenticate: Digest realm="N5M-6S335",algorithm="MD5",qop="auth",nonce="6444da9264a78",opaque="51d97021ccdf09ef7a8da27e8193cabf"
WWW-Authenticate: Digest realm="N5M-6S335",algorithm="SHA-256",qop="auth",nonce="6444da9264a78",opaque="51d97021ccdf09ef7a8da27e8193cabf"
Content-type: text/html; charset=UTF-8
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Content-Length: 0
Date: Sun, 23 Apr 2023 07:13:21 GMT
Server: WintenDolighttpd/1.4.67

在 slot_requestRet_Syn 函数中截取 WWW-Authenticate 的内容(可以看到有两种加密方式,MD5 和 SHA-256)。获取到需要的验证信息后,main 函数调用 reAuthenticate 函数,根据服务器定的规则进行验证信息的处理,这里选择 SHA-256 的加密方式,所以代码里截取出WWW-Authenticate: Digest realm="N5M-6S335",algorithm="SHA-256",qop="auth",nonce="6444da9264a78",opaque="51d97021ccdf09ef7a8da27e8193cabf这一行信息,再分别截取出 realm、qop 等等这些字段,根据规则进行 SHA-256 加密,最终得出认证信息。最后,main 函数重新发送 HTTP 请求,在请求头的 Authorization 字段加上这串验证信息:

这样,就可以成功请求服务器了。文中用到的 HTTP 请求类,可以到点击这里下载。

相关推荐
Mr.Q3 小时前
Qt多边形填充/不填充绘制
qt
可峰科技3 小时前
斗破QT编程入门系列之二:认识Qt:编写一个HelloWorld程序(四星斗师)
开发语言·qt
石牌桥网管4 小时前
OpenSSL 生成根证书、中间证书和网站证书
网络协议·https·openssl
7年老菜鸡5 小时前
策略模式(C++)三分钟读懂
c++·qt·策略模式
huanggang9829 小时前
在Ubuntu22.04上使用Qt Creator开发ROS2项目
qt·ros2
老秦包你会9 小时前
Qt第三课 ----------容器类控件
开发语言·qt
阑梦清川10 小时前
JavaEE初阶---网络原理(五)---HTTP协议
网络·http·java-ee
spygg10 小时前
Qt低版本多网卡组播bug
qt·组播·多网卡组播·qt5.7.0
阿尔帕兹11 小时前
构建 HTTP 服务端与 Docker 镜像:从开发到测试
网络协议·http·docker
码农客栈11 小时前
qt QWebSocketServer详解
qt