基於BasicAuth的安全認證

一、什麼是BasicAuth

BasicAuth是一種簡單的HTTP認證協議，它使用明文的用戶名和密碼來進行身份驗證。在HTTP請求頭中添加Authorization頭信息，由伺服器進行驗證，如果驗證通過，則認為請求合法，否則返回401錯誤。

在許多Web應用程序中，BasicAuth被廣泛採用作為簡單的用戶身份驗證方法。儘管相比其他更複雜的身份驗證方法，BasicAuth的安全性較低，但是由於簡單方便，還是受到了廣泛的應用。

二、基本用法

使用BasicAuth只需要在HTTP請求頭中添加Authorization頭信息，該信息包含Base64編碼後的用戶名和密碼。

Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

上述中的QWxhZGRpbjpvcGVuIHNlc2FtZQ==是”Aladdin:open sesame”這個用戶名和密碼組合進行Base64編碼的結果。

伺服器在接收到該請求後，會將Authorization頭信息解析出來，然後進行驗證，若驗證通過，則認為請求合法，否則返回401錯誤。

三、應用場景

BasicAuth雖然安全性相對較低，但仍可以應用於許多場景。以下列舉的是幾種常見的應用場景。

（一）RESTful API的安全認證

RESTful API是一種基於HTTP協議的Web API，其通常會使用BasicAuth進行身份驗證。當使用RESTful API進行前後端數據交互時，常常需要先進行身份驗證，以確保請求的合法性，再進行其他操作。

// 伺服器端代碼：

（二）Web應用程序的管理員登錄認證

在許多Web應用程序中，管理員賬號對應的許可權更高，因此需要對管理員賬號進行特殊認證。

// 伺服器端代碼：
 'password1',
    'admin2' => 'password2'
);

// Basic認證函數
function checkAdminAuth() {
    // 判斷請求頭中Authorization是否存在
    if (!isset($_SERVER['Authorization'])) {
        header('HTTP/1.1 401 Unauthorized');
        header('WWW-Authenticate: Basic realm="Please enter your username and password."');
        exit;
    }

    // 解碼Authorization信息
    $auth = base64_decode(substr($_SERVER['Authorization'], strlen('Basic ')));

    // 獲取用戶名和密碼
    list($name, $password) = explode(':', $auth);

    // 判斷是否為管理員賬號
    if (!isset($admins[$name]) || $admins[$name] !== $password) {
        header('HTTP/1.1 401 Unauthorized');
        header('WWW-Authenticate: Basic realm="Please enter your username and password."');
        exit;
    }

    return true;
}

// 調用checkAdminAuth函數進行身份驗證
if (!checkAdminAuth()) {
    header('HTTP/1.1 401 Unauthorized');
    header('WWW-Authenticate: Basic realm="Please enter your username and password."');
    exit;
}

// 驗證通過，返回數據
echo 'Hello, admin!';
?>

（三）Web應用程序的頁面加鎖

在Web應用程序中，有些頁面需要特定的用戶許可權才能訪問。這時可以將頁面加鎖，只有憑藉正確的用戶名和密碼才能訪問。

// HTML代碼：
<html>
<head>
<meta charset="UTF-8">
<title>Locked Page</title>
</head>
<body>
<?php
// 判斷是否為管理員賬號
if (!isset($admins[$_SERVER['PHP_AUTH_USER']]) || $admins[$_SERVER['PHP_AUTH_USER']] !== $_SERVER['PHP_AUTH_PW']) {
    header('WWW-Authenticate: Basic realm="Please enter your username and password."');
    header('HTTP/1.1 401 Unauthorized');
    echo 'Invalid username or password.';
    exit;
}
?>
<h1>Welcome to the locked page!</h1>
</body>
</html>

四、總結

BasicAuth雖然安全性相對較低，但是由於簡單方便，在許多Web應用程序中被廣泛採用。使用BasicAuth時，應當注意將用戶名和密碼進行Base64編碼以防泄密；並且應注意BasicAuth在傳輸過程中是明文的，可能會被中間人攻擊截獲，因此不適合用於傳輸敏感數據。

原創文章，作者：小藍，如若轉載，請註明出處：https://www.506064.com/zh-tw/n/160560.html