关于个人对于http的认证过程的理解

HTTP 的认证机制

http协议支持两种认证方式：基本认证和摘要认证。

什么是认证

认证就是要给出身份证明，证明你就是你声称的那个人。

例如懒羊羊和猪头两个人在网上都互动半年了还没有见面，于是懒羊羊向猪头发出了诚挚的邀请：猪头，五一来南京玩吧（把他刀了），我请你吃麻辣烫！本来猪头想先视频一下到时候好认人，但懒羊羊说那样就没有惊喜感了。于是两人就采取了最原始的认证方式：对暗号，到时候猪头喊：天王盖地虎。懒羊羊就喊：猪头二百五。

这就是最基本的认证

HTTP 基本认证

大体流程就类似于懒羊羊和猪头接头的过程。

1. 猪头：走到一个人面前说，懒羊羊带我去吃麻辣烫吧。
2.  懒羊羊：请说出你的暗号。
3. 猪头：天王盖地虎。
4. 懒羊羊：猪头二百五。

张亮麻辣烫走起。。。

映射到服务器就是服务器A(未认证)向服务器B申请一张图片（猪头裸照），但是这张图片在服务器B的加密范围内（服务器B会返回状态码401），必须是在服务器B这里认证过的服务器A才可以获取到这张照片，于是服务器A将自己的个人认证发给服务器B,就可以获得这个照片（猪头裸照）.至此这个HTTP事务就结束了，非常简单的一个认证机制，不过缺点也是蛮多的。

HTTP 基本认证的优缺点

优点

简单，被广泛支持

缺点

不安全

安全分几个层面：内容的篡改及嗅探。这是HTTP协议本身存在的问题，所以很难根除，以后的网络世界会慢慢全部转为使用更加安全的HTTPS的。

1 用户HTTP是在网络上裸奔的，所以这个基本认证的用户名和密码也是可以被人看到的，虽然它使用了Base64来编码，但这个编码很容易就可以解码出来。

2 即使这个认证内容不能被解码为原始的用户名和密码也是不安全的，恶意用户可以再获取了认证内容后使用其不断的享服务器发起请求，这就是所谓的重放攻击。

3 像中间人攻击就更不能防止了，中间人可以修改报文然后请求服务器。

 

然后你们猜猜猪头吃了多少麻辣烫？？？？