Basic Authentication

Posted on In

什么是 Basic Authentication?

Basic Authentication 是一种 HTTP 协议的认证方式,它使用用户名和密码对客户端进行身份验证。
RFC 2617 定义了 Basic Authentication 协议,它规定了客户端如何向服务器发送请求,以及服务器如何验证用户名和密码。
当用户试图访问受保护的资源时,服务器会判断 HTTP Header 中的 Authorization 字段是否包含有效的 Basic Authentication 认证信息。如果没有,服务器会返回 401 Unauthorized 状态码,要求客户端提供认证信息,并在响应头中添加 WWW-Authenticate: Basic 字段。

Basic Authentication 的流程

  1. 客户端向服务器发送请求,并在请求头中添加 Authorization 字段,其值使用 Basic 认证方式,并附带用户名和密码。
  2. 服务器收到请求后,会对用户名和密码进行验证,如果验证成功,则允许客户端访问受保护的资源。
  3. 如果验证失败,则服务器会返回 401 Unauthorized 状态码,并在响应头中添加 WWW-Authenticate: Basic 字段,要求客户端提供认证信息。
  4. 客户端收到 401 Unauthorized 状态码后,会弹出认证对话框,要求用户输入用户名和密码。
  5. 客户端输入用户名和密码后,会将用户名和密码使用 Base64 编码,并在 Authorization 字段中附带。
  6. 服务器再次收到请求,并对用户名和密码进行验证。
  7. 如果验证成功,则允许客户端访问受保护的资源。
1
Authorization: Basic base64(username:password)

Basic Authentication 的优缺点

优点

  • 简单:基本认证只需要客户端和服务器之间共享一个密钥,不需要其他额外的配置。
  • 兼容性强:基本认证是 HTTP 协议的认证方式,所有现代浏览器都支持。

缺点

  • 安全性低:Base64 编码为非对称加密,容易被破解。
  • 传输效率低:用户名和密码需要进行 Base64 编码,会增加请求头的大小。
  • 无状态:基本认证没有状态,每次请求都需要重新验证。

使用建议

  • 对于需要安全访问的资源,建议使用 HTTPS 协议。

适合使用基本认证的场景:

  • 内部系统之间的数据交换,如内部系统之间的数据传输。
  • 内部系统之间的数据共享,如内部系统之间的文件共享。
  • 内部系统之间的数据访问,如内部系统之间的 API 访问。