Идентификация обзора HTTP
Я хочу использовать Идентификацию Обзора HTTP с центральной базой данных, которая хранит имена пользователей и зашифрованные пароли. Эти данные должны использоваться различными серверами как апачский httpd или Кот, например. Клиенты будут людьми с браузерами и другими заявлениями, общающимися УСПОКОИТЕЛЬНЫМ способом.
Насколько я понимаю, что не мог использовать стол с крошившими паролями. Это только возможно, чтобы сохранить HA1 = MD5 (username:realm:password), где пароль открытого текста требуется - правильный?
С другой стороны, это, кажется, возможно использовать крошившие пароли с апачским httpd:
Апачский httpd доктор говорит:
Первое значение столбца первого ряда, возвращенного заявлением вопроса, должно быть последовательностью, содержащей зашифрованный пароль.
Это работает с идентификацией обзора? Нет никакого параметра, чтобы определить алгоритм хеширования. Как делает апачский httpd, решают который алгоритм использовать?
RFC 2617 говорит:
4.13 Хранение паролей
Идентификация обзора требует, чтобы агент подтверждения (обычно сервер) хранил некоторые данные, полученные из имени и пароля пользователя в «файле пароля», связанном с данной сферой. Обычно это могло бы содержать пары, состоящие из имени пользователя и H (A1), где H (A1) является переваренной ценностью имени пользователя, сферы и пароля, как описано выше.
Это кажется, что пароль должен быть открытым текстом.
Сервлет 3,0 спекуляции говорит:
Хотя пароли не посылают на проводе, идентификация Обзора HTTP требует, чтобы эквиваленты пароля открытого текста были доступны контейнеру подтверждения так, чтобы это могло утвердить полученные удостоверения, вычислив ожидаемый обзор.
Что «пароль открытого текста эквивалентен» здесь? Мешанина пароля?
В документации кота говорится:
Если использование переварило пароли с идентификацией ОБЗОРА, cleartext, используемый, чтобы произвести обзор, отличается. В примерах выше {cleartext-пароля} должен быть заменен {именем пользователя}: {сфера}: {cleartext-пароль}. Например, в среде разработки это могло бы взять форму testUser:localhost:8080:testPassword.
Вот требуемый пароль открытого текста.
Так, действительно ли HTTP могут Переварить идентификацию использоваться с уже зашифрованными паролями или иметь пароли, чтобы быть открытым текстом?
Пользователь должен повторно войти в свои учетные данные, если он просит страницу от другого субдомена?
Браузер удаляет припрятавший про запас пароль, когда счет закрыт или только когда целое закрыто? Возможно, это отличается от браузера до браузера - мне было бы интересно, в котором браузере удаляют его и которые держат его.
Полный вопрос, подходит ли идентификация обзора для моего сценария с центральным пользователем db с уже зашифрованными паролями. Или я должен лучше использовать базирующийся единственный знак сессии на обслуживании?
1 ответ
В этом сценарии, где вы уже имеете базу данных хэшированных паролей, невозможно использовать дайджестную аутентификацию, поскольку они не были хешированы с использованием той же функции.
Я думаю, что лучшее решение для вас здесь является создание страницы входа в систему и использовать сеансы cookie для управления привилегиями пользователей. С этим решением вы получаете ответ на другие вопросы:
- Cookie можно использовать для использования между субдоменами: http://en.wikipedia.org/wiki/http_cookie#cookie_attributes
- Должно быть, пока пользователи не закроют браузер, время ожидания времени ожидания или пользователи нажимают на кнопку «Выход». Никогда не забудьте предложить эту опцию своим пользователям !!!