摘要認證

1.概述

摘要認證（Digest authentication）用來提供比基礎認證更高級別的安全。在RFC2617中有關於它的描述，摘要認證是一種基於挑戰-應答模式的認證模型。這是一種常用的技術，用於證明某人知道某個秘密，而不要求他以容易被竊聽的明文形式傳送該秘密。

2.原理

摘要認證與基礎認證的工作原理很相似，用戶先發出一個沒有認證證書的請求，Web伺服器回復一個帶有WWW-authenticate頭的回響，指明訪問所請求的資源需要證書。但是和基礎認證傳送以Base 64編碼的用戶名和密碼不同，在摘要認證中伺服器讓客戶選一個隨機數（稱作”nonce“），然後瀏覽器使用一個單向的加密函式生成一個訊息摘要（message digest），該摘要是關於用戶名、密碼、給定的nonce值、HTTP方法，以及所請求的URL。訊息摘要函式也被成為散列算法，是一種在一個方向上很容易計算，反方向卻不可行的加密算法。與基礎認證對比，解碼基礎認證中的Base 64是很容易辦到的。在伺服器口令中，可以指定任意的散列算法。在RFC 2617中，描述了以MD5散列函式作為默認算法。