Total Pageviews

Sunday 17 April 2016

NodeJs里实现HTTP Basic Auth

何为HTTP基本认证(HTTP Basic Auth)

在HTTP中,基本认证是一种用来允许Web浏览器,或其他客户端程序在请求时提供以用户名和口令形式的凭证。 通常我们通过浏览器去访问一个SVN代码库,浏览器会弹出一个窗口,要求输入用户名和密码。一般SVN的的Web服务端采用Apache服务器,因为Apache实现了WebDAV协议,支持HTTP协议管理SVN库。Apache里HTTP基本认证的功能是通过mod_auth_basic模块实现的。



<Location /secure>








 AuthType basic








 AuthName "private area"








 AuthBasicProvider dbm








 AuthDBMType SDBM








 AuthDBMUserFile /www/etc/dbmpasswd








 Require valid-user








</Location>

HTTP基本认证的实现机制

  1. 客户端请求一个需要身份认证的页面,但是没有提供用户名和口令。
  2. 服务端响应一个401应答码,并提供一个认证域。在响应消息的同步加入WWW-Authenticate: Basic realm="Secure Area"
  3. 接到应答后,客户端显示该认证域(通常是所访问的计算机或系统的描述)给用户并提示输入用户名和口令。此时用户可以确定取消。
  4. 用户输入了用户名和口令后,客户端在原先的请求上添加了认证消息头(值是base64encode(username+":"+password)),然后重新发送。
  5. 服务器接受了认证并返回了页面。如果用户名非法或口令不对,服务器可能返回401应答码,客户端可以再次提示用户输入口令,服务器也可以返回403,提示访问的内容被禁止,用户需要刷新页面再次打开用户名和口令输入窗口。
客户端请求(没有认证信息):
GET /private/index.html HTTP/1.0
Host: localhost
服务端应答:
HTTP/1.0 401 Authorization Required
Server: HTTPd/1.0
Date: Sat, 27 Nov 2004 10:18:15 GMT
WWW-Authenticate: Basic realm="Secure Area"
Content-Type: text/html
Content-Length: 311
 
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/1999/REC-html401-19991224/loose.dtd">
<HTML>
<HEAD>
 <TITLE>Error</TITLE>
 <META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-1">
</HEAD>
<BODY><H1>401 Unauthorized.</H1></BODY>
</HTML>
客户端的请求(用户名“”Aladdin”,口令, password “open sesame”):
GET /private/index.html HTTP/1.0
Host: localhost
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

如何在NodeJs里实现HTTP基本认证




var http = require('http');








 







var server = http.createServer(function(req, res) {








    var auth = req.headers['authorization'];          








    console.log("Authorization Header is: ", auth);








 if(!auth) {     








  res.statusCode = 401;








  res.setHeader('WWW-Authenticate', 'Basic realm="Secure Area"');








  res.end();








 } else if(auth) {








  var tmp = auth.split(' '); 








  var buf = new Buffer(tmp[1], 'base64');                 








  var plain_auth = buf.toString();








  console.log("Decoded Authorization ", plain_auth);








  var creds = plain_auth.split(':');      // split on a ':'








        var username = creds[0];








        var password = creds[1];








  if((username == 'hack') && (password == 'thegibson')) {  








   res.statusCode = 200;  // OK








         res.end('<html><body>登录成功!</body></html>');








         } else {








            res.statusCode = 401; 








   res.setHeader('WWW-Authenticate', 'Basic realm="Secure Area"');








   res.end();








        }








    }








}).listen(5000, function() { console.log("Server Listening on http://localhost:5000/"); });

HTTP基本认证的缺点

所有流行的网页浏览器都支持基本认证,而且非常容易实现,但它有两个非常明显的缺点。
  • 以明文传输的密钥和口令很容易被拦截
  • 不关闭浏览器的情况下无法登出

参考文献

  1. 维基百科-HTTP基本认证
  2. Example of HTTP Basic Auth in NodeJS
Posted by at
Labels: ,