悠悠中文版.docx

...-、建议。详情请参见官方文件(STD1)。本文可任意分发。版权申明Copyright(C)Society(1999).AllRightsReserved摘要“HTTP/”中包括基本访问鉴别方案(essAuthenticationscheme)。该方案不是安全的用户授权方法(除非与其它安全方法联合使用,如SSL[5]),因为其用户名和口令在网络上是以明文方式传送的。本文档还提供了HTTP鉴别框架的规范,有关原始的基本鉴别方案和基于哈希加密的方案的内容,请参见摘要访问鉴别(essAuthentication)。从RFC2069公布以来,其中涉及的一些可选元素因为出现问题而被移出;而还有一些新的元素因为兼容性的原因而被加入,这些新元素虽然是可选的,但还是强烈建议使用的,因而,RFC2069[6]最终可能会被本规范所替代。与基本方式类似的是,摘要鉴别授权对通讯双方都知道的秘密(如口令)进行校验;而与基本方式不同的是,该校验方式中的口令不以明文方式传输,而这正是基本方式的最大弱点。正象其它大多数授权协议那样,该协议最大的风险不在于其协议本身,而是它周边的应用程序。授权鉴别对HTTP/[2]一起使用,它使用HTTP/(AugmentedBNF),并依赖于该文档对非终端(non-terminals)的定义及对其它方面的描述。访问鉴别框架HTTP提供了简单的挑战-回应鉴别机制,它可能被服务器用来质询客户端请求,也可能被客户端用来提供鉴别信息。授权方案用可扩展的、大小写敏感的符号来标识,后跟获取证明所需要的以逗号分隔的‘属性-值’对。auth-scheme=tokenauth-param=token"="(token|quoted-string)401(未授权)回应消息被原始服务器端用来质询用户代理的授权。该回应必须包括含有至少一个被请求资源challenge的别代理)回应消息被代理用来质询客户端的授权,它的Proxy-Authenticate报头域必须包括至少一个proxy对被请求资源的challenge。challenge=auth-scheme1*SP1#auth-param注意:用户代理(agent)解析icate的报头域,在碰到含有多个challenge或多个,因为这些challenge本身可能就包含了以逗号分隔的鉴别参数对。鉴别参数realm的定义在所有的鉴别方案中使用:realm ="realm""="realm-valuerealm-value =quoted-stringRealm项(大小写敏感)在所有涉及challenge的鉴别方案中都要用到。Realm值(大小写敏感)要与被访问服务器的‘根’URL的规范用法(即绝对路径为空的服务器的绝对URI-absoluteURI,[2])联合使用,以定义受保护的区间。这些realm参数允许将服务器上受保护资源分成若干个区间,每个区间都有其自己的鉴别方案和(或)授权数据库。Realm值是字符串,通常由原始服务器分配,针对某些鉴别方案可能还有附加的语法问题。注意,可能存在多个challenge,auth-scheme相同,而realm不同的情况。通常,agent在收到401(未授权)回应时,可能(也可能不会)希望服务器对其授权。如果希望授权,用户代理将在请求中加入授权请求报头(Authorizationrequest-header)域。授权域值由信任证书组成,其中有对用户代理所请求资源领域的授权信息。Client在收到407(需要代理