如何在 REST API 中實作和調試摘要式身份驗證

在保護 REST API 時，開發人員經常在各種驗證機制之間進行選擇。一種流行的選擇是摘要式身份驗證。本文探討了使用摘要式身份驗證的原因，解釋了它是什麼，提供了 Java 和 Go 中的實作範例，並提供了使用工具測試它的指導。

為什麼對 REST API 使用摘要式驗證？

摘要式驗證是一種驗證使用者的安全方法，主要具有以下優點：

1.安全密碼傳輸：
與以明文形式發送密碼的基本驗證不同，摘要式驗證會對密碼進行雜湊處理，從而最大限度地降低被攔截的風險。
2.重播攻擊預防：
透過合併對單一會話有效的隨機數（隨機產生的數字），摘要式身份驗證可以降低重播攻擊的風險。
3.完整性保護：
透過雜湊響應來維護通訊完整性，這有助於確保資料在傳輸過程中不會被篡改。

這些功能使摘要式驗證成為使用 REST API 時的一個不錯的選擇，特別是在安全性是首要考慮因素的環境中。

什麼是摘要式身份驗證？

摘要式驗證是一種使用質詢-回應機制的 HTTP 驗證方案。其工作原理如下：

1.客戶要求：
客戶端向伺服器發送沒有憑證的請求。
2.伺服器挑戰：
伺服器回應 401 Unauthorized 狀態，包括 WWW-Authenticate 標頭，其中包含隨機數和其他資訊。
3.客戶回應：
客戶端使用使用者名稱、密碼、隨機數和其他因素產生哈希，並將其在授權標頭中發送回。
4.伺服器驗證：
伺服器將收到的雜湊值與自己的計算結果進行比較。如果匹配，則使用者通過身份驗證。
此流程可確保敏感資訊不會透過網路公開傳輸。

如何實作摘要式身分驗證

Java實作

Java 使用「HttpURLConnection」類別提供摘要式驗證的支援。這是一個例子：

import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.net.HttpURLConnection;
import java.net.URL;
import java.util.Base64;

public class DigestAuthExample {
    public static void main(String[] args) throws Exception {
        String url = "https://example.com/api/resource";
        String user = "username";
        String password = "password";

        // Initiate the request to get the nonce
        HttpURLConnection connection = (HttpURLConnection) new URL(url).openConnection();
        connection.setRequestMethod("GET");

        int responseCode = connection.getResponseCode();
        if (responseCode == 401) {
            String authHeader = connection.getHeaderField("WWW-Authenticate");
            // Extract the nonce and other parameters from authHeader

            // Assuming nonce and realm are extracted
            String nonce = "extracted_nonce";
            String realm = "extracted_realm";
            String ha1 = calculateHA1(user, realm, password);
            String ha2 = calculateHA2("GET", "/api/resource");
            String response = calculateResponse(ha1, nonce, ha2);

            // Set the authorization header
            connection.setRequestProperty("Authorization", "Digest username=\"" + user + "\", realm=\"" + realm + "\", nonce=\"" + nonce + "\", uri=\"/api/resource\", response=\"" + response + "\"");

            // Re-attempt the request
            connection = (HttpURLConnection) new URL(url).openConnection();
            responseCode = connection.getResponseCode();
        }

        // Read the response
        BufferedReader in = new BufferedReader(new InputStreamReader(connection.getInputStream()));
        String inputLine;
        StringBuilder response = new StringBuilder();
        while ((inputLine = in.readLine()) != null) {
            response.append(inputLine);
        }
        in.close();

        System.out.println("Response: " + response.toString());
    }

    // Implement HA1, HA2, and calculateResponse functions
}

實施

在 Go 中，您可以利用帶有自訂傳輸的「http」套件來管理摘要式驗證：

package main

import (
    "fmt"
    "net/http"
    "time"
)

func main() {
    client := &http.Client{}
    req, err := http.NewRequest("GET", "https://example.com/api/resource", nil)
    if err != nil {
        panic(err)
    }

    req.SetBasicAuth("username", "password") // Placeholder for Digest Auth, requires proper implementation

    resp, err := client.Do(req)
    if err != nil {
        panic(err)
    }
    defer resp.Body.Close()

    fmt.Printf("Response status: %s\n", resp.Status)
}

注意：在此 Go 範例中，您通常需要手動處理摘要身份驗證細節或使用支援它的程式庫。

如何使用工具測試摘要式驗證

可以使用各種工具來實現測試摘要式驗證：

迴聲API：

若要使用 EchoAPI 測試摘要式驗證，請先開啟 EchoAPI 工具。建立新請求並設定方法（例如 GET）。接下來，輸入 API 端點的 URL。

在“驗證”設定中，選擇“摘要式驗證”，輸入您的使用者名稱和密碼，然後傳送要求。 EchoAPI 將自動管理隨機數和標頭產生。

郵差：

您可以設定新要求並使用「授權」標籤選擇「摘要式驗證」並輸入您的憑證。 Postman 將處理隨機數並為您產生正確的標頭。

捲曲：

使用「--digest」選項與使用者憑證：

import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.net.HttpURLConnection;
import java.net.URL;
import java.util.Base64;

public class DigestAuthExample {
    public static void main(String[] args) throws Exception {
        String url = "https://example.com/api/resource";
        String user = "username";
        String password = "password";

        // Initiate the request to get the nonce
        HttpURLConnection connection = (HttpURLConnection) new URL(url).openConnection();
        connection.setRequestMethod("GET");

        int responseCode = connection.getResponseCode();
        if (responseCode == 401) {
            String authHeader = connection.getHeaderField("WWW-Authenticate");
            // Extract the nonce and other parameters from authHeader

            // Assuming nonce and realm are extracted
            String nonce = "extracted_nonce";
            String realm = "extracted_realm";
            String ha1 = calculateHA1(user, realm, password);
            String ha2 = calculateHA2("GET", "/api/resource");
            String response = calculateResponse(ha1, nonce, ha2);

            // Set the authorization header
            connection.setRequestProperty("Authorization", "Digest username=\"" + user + "\", realm=\"" + realm + "\", nonce=\"" + nonce + "\", uri=\"/api/resource\", response=\"" + response + "\"");

            // Re-attempt the request
            connection = (HttpURLConnection) new URL(url).openConnection();
            responseCode = connection.getResponseCode();
        }

        // Read the response
        BufferedReader in = new BufferedReader(new InputStreamReader(connection.getInputStream()));
        String inputLine;
        StringBuilder response = new StringBuilder();
        while ((inputLine = in.readLine()) != null) {
            response.append(inputLine);
        }
        in.close();

        System.out.println("Response: " + response.toString());
    }

    // Implement HA1, HA2, and calculateResponse functions
}

失眠：

與 Postman 類似，您可以建立要求，選擇摘要式驗證，然後輸入您的憑證。

透過利用這些工具，您可以以最少的配置有效地測試使用摘要式驗證保護的 API。

結論

摘要式驗證是一種針對 REST API 的強大驗證機制，可提供比基本驗證更高的安全性。透過確保密碼經過雜湊處理並減輕重播攻擊，它為 API 互動提供了更安全的環境。透過正確的方法，在 Java 和 Go 中實作摘要式驗證可以很簡單，而 Postman、cURL 和 Insomnia 等工具則可以簡化測試過程。由於安全性仍然是 API 開發的關鍵焦點，對於尋求保護其應用程式的開發人員來說，摘要式身份驗證是一個可靠的選擇。

以上是如何在 REST API 中實作和調試摘要式身份驗證的詳細內容。更多資訊請關注PHP中文網其他相關文章！