12.1 认证

• 既要保证访问方便，又要保证只有特定的人能看到我们的敏感信息并且能够执行我们的特权事务。并不是所有的信息都能够公开发布的。
• 认证就意味着要证明你是谁。通常是通过提供用户名和密码来进行认证的。
• HTTP 为认证提供了一种原生工具。尽管我们可以在 HTTP 的认证形式和 cookie 基础之上“运行自己的”认证工具，但在很多情况下，HTTP 的原生认证功能就可以很好地满足要求。
• 最常见的 HTTP 认证机制包括：基本认证(basic authentication)、摘要认证(digest authentication)。

1. HTTP 的质询/响应认证框架

• HTTP 提供了一个原生的质询 / 响应(challenge/response)框架，简化了对用户的认证过程。质询是服务器发往客户端，响应是客户端发往服务器，这里的响应可理解为认证或授权。简化的质询/响应认证框架如下图所示：
  

2. 认证协议与首部

• HTTP 通过一组可定制的控制首部，为不同的认证协议提供了一个可扩展框架。
• 下表列出的首部格式和内容会随认证协议的不同而发生变化。认证协议也是在 HTTP 认证首部中指定的。HTTP 定义了两个官方的认证协议：基本认证和摘要认证。今后人们可以随意设计一些使用 HTTP 质询/响应框架的新协议。本章主要介绍基本认证协议。

步骤 首部 描述 方法/状态 请求 第一条请求没有认证信息 GET 质询 WWW-Authenticate 服务器用 401 状态拒绝了请求，说明需要用户提供用户名和密码。
服务器上可能会分为不同的区域，每个区域都有自己的密码，所以服务器会在 WWW-Authenticate 首部对保护区域进行描述。同样，认证算法也是在 WWW-Authenticate 首部中指定的。 401 Unauthorized 授权 Authorization 客户端重新发出请求，但这一次会附加一个 Authorization 首部，用来说明认证算法、用户名和密码。 GET 成功 Authentication-Info 如果授权证书是正确的，服务器就会将文档返回。有些授权算法会在可选的 Authentication-Info 首部返回一些与授权会话相关的附加信息。 200 OK

• 基本认证实例（基本认证不含 Authentication-Info 首部）：
  

3. 安全域

• HTTP 是怎样允许服务器为不同的资源使用不同的访问权限的： WWW-Authenticate 质询中包含了一个 realm 指令。Web 服务器会将受保护的文档组织成一个安全域(security realm)。每个安全域都可以有不同的授权用户集。
  
• 比如，下面的一个假想的基本认证质询，它指定了一个域:
  HTTP/1.0 401 Unauthorized
WWW-Authenticate: Basic realm="Corporate Financials"
  域应该有一个描述性的字符名，比如 Corporate Financials(公司财务资料)，以帮助用户了解应该使用哪个用户名和密码。在安全域的名称中列出服务器主机名也是很有帮助的——比如，executive-committee@bigcompany.com。