HTTP Digest Authentication在实际应用中的问题

随处风流

作者：老王

Basic认证实际上是明文传递密码，所以RFC2617里定义了Digest认证以取代它，其计算方法如下：



其中HA1计算方法为：




如果qop选项的值为auth，那么HA2散列计算方法为：




如果qop选项的值为auth-int，那么HA2散列计算方法为：





密码的问题：

当客户端请求到达的时候，服务器程序为了验证其response是否合法，必须按照上面的计算方法重新构建response，那么为了能算出HA1散列，必须满足以下两个条件之一：要么在数据库里保存原始密码，要么在数据库保存事先计算好的HA1。不过这在实际应用中都很难满足。

实际应用里，密码一般都是保存其md5散列，想得周到点的，会加一个salt再md5。首先，保存原始密码是不可想象的，一旦数据库出问题，密码直接处于裸奔状态，问题就严重了。其次，预先保存计算好的HA1也是很难的，除非是新应用，否则老系统估计不太可能会那么有前瞻性去保存一个HA1。

攻击的问题：

在Basic认证里，一旦请求被黑客嗅探到，那么密码就暴露了，在Digest认证里，虽然黑客不可能直接嗅探到密码，但是他可以利用拿到的请求头信息构造一个看似合法的请求，或者黑客还可以进行更赤裸裸的暴力破解攻击。如果想屏蔽这些攻击，服务器必须记录哪些nonce已经被用过了。

在一个繁忙的网站里，如果每次请求的nonce值都要记录下来的话，那用不了多久，数据量就会达到一个天文数字，这无疑增加了服务器的负担。相对而言，比较实际的做法是仅仅记录一段时间内的nonce值，比如一个小时内的nonce值，但黑客同样也可以一个小时候后再发起攻击，所以还得把nonce的产生和时间戳结合起来才行，屏蔽过期的nonce，或者把nonce和ip结合起来，不过问题的解决方案也一点一点变得复杂了。

参考文档：Digest access authentication