配置Apache Basic和Digest认证

伯乐在线注:本文来自文章作者 Kaiyi Zhang 的邮件投稿(原文)。以下是全文。

在伯乐在线看到一篇《在Nginx下对网站进行密码保护》文章, 正好和自己这两天研究的问题有些相同点。我侧重研究的是如何破解。虽然在那篇文章中注明密码是加密存储的, 但是他忽略了一点就是密码在网络中传输是明文传输的,所以那种加密方式不可取。

下面就是我对Apache用户认证的一些理解。

Apache常见的用户认证可以分为下面三种:

  • 基于IP,子网的访问控制(ACL)
  • 基本用户验证(Basic Authentication)
  • 消息摘要式身份验证(Digest Authentication)

 

访问控制

访问控制不属于这篇文章讨论的范围.

基本身份验证

原理:
一个页面访问请求

Web服务器要求用书输入用户凭据(服务器返回401响应头和’realm’)

浏览器弹出登录窗口(包含’realm’),要求用提供用户名/密码

服务器将用户输入的凭据和服务器端的凭据进行比较。如果一直则返回所请求页面的响应。

配置: – 以保护/data/www/auth/basic为例

Step 1: 创建密码文件,并添加第一个用户。

-c = create file

常规添加不要使用-c选项,因为它会覆盖现有的文件。

设置文件所有权和权限(root可以进行读写,Apache Group只可以读取)

注意: 在密码文件中,密码是加密存贮的(eg: LengWa:$apr1$MBvROZKM$wP.pdlMonB0P4xGZwl.8G0)。但是在网络中是明文传输的。

Step 2: 配置httpd.conf

Step3: 编辑/data/www/auth/basic/.htaccess

重新启动Apache服务器,访问 http://127.0.0.1/auth/basic/ 验证加密。

我前面说过这种加密在网络中传输时是明文传输 Base64 编码,我不认为这是一种加密算法)的。如果你感兴趣,可以抓包看看。

 

消息摘要式身份验证(Digest Authentication)

原理:

Digest Authentication在基本身份验证上面扩展了安全性. 服务器为每一连接生成一个唯一的随机数, 客户端对用这个随机数对密码进行MD5加密. 然后发送到服务器. 服务器端也用此随机数对密码加密, 然后和客户端传送过来的加密数据进行比较.

一个页面访问请求

Web服务器要求用书输入用户凭据(服务器返回401响应头和’realm’)

浏览器弹出登录窗口(包含’realm’), 要求用提供用户名/密码

服务器将用户输入加密后的凭据和服务器端加密后的的凭据进行比较.如果一致则返回所请求页面的响应.

配置:

Step 1: 创建密码文件

语法:

-c = create file

常规添加不要使用-c选项, 因为它会覆盖现有的文件.

设置文件所有权和权限(root可以进行读写, Apache Group只可以读取)

user.txt格式: LengWa:Digest Encrypt:d95ea4412b0fb517b25c4c46f32e5a2b

Step2: 配置httpd.conf

现在基于Digest的验证环境就搭建好了.

注: 在Basic验证中. 我使用了.htaccess 而在Digest验证中我没有使用. 只是为了个人的需要. 你可以根据自己需要进行配置.

疑惑: 对于在配置Digest httpd.conf时, AuthName 必须和上面的realm还是不是很明白. 为什么必须一致. 如果有哪位大神知道. 望不吝赐教。

 

总结:

Basic验证方式配置相对简单,但是安全性太低,不适合一些加密要求比较高的站点。

Digest则相反,加密性是很高,但是配置起来还是有一点难度的,所以大家根据自己需要,选择不同的加密方式。

 

参考文章:

  1. Apache Basic and Digest Authentication(注: 此文配置Digest的httpd.conf有一处错误, AuthDigestFile 改为 AuthUserFile)
  2. Testing for Brute Force
  3. The WWW-Authenticate Response Header

 

收藏 评论

关于作者:伯乐在线读者

① 本账号用于发布那些在伯乐在线无账号的读者的投稿,包括译文和原创文章。② 欢迎加入伯乐在线专栏作者:http://blog.jobbole.com/99322/ 个人主页 · 我的文章 · 32

相关文章

可能感兴趣的话题



直接登录
跳到底部
返回顶部