Digest
Работа Digest авторизации чуть сложнее. Прежде всего, при первом сообщении клиенту о необходимости прохождения авторизации (шаг 2), сервер передает в заголовке ряд параметров
- realm – имя защищенной области (помните, мы акцентировали на ней внимание при настроке файла конфигурации?) Здесь значение этого параметра играет роль (в отличии от Basic авторизации)
- nonce – уникальный ключ, генерируемый сервером в момент отправки сообщения клиенту
- algorithm – название алгоритма (как правило, MD5)
Form based аутентификации
Про аутентификацию через
HTML
форму вы можете прочитать в статье
«PHP Аутентификация через форму»
Браузерная реализация
В большинстве браузеров реализованы существенные спецификации, за исключением некоторых определенных функций, таких как проверка AUTH-INT или алгоритм MD5-сессии. Если сервер требует, чтобы эти дополнительные особенности были обработаны, клиенты могут не иметь возможности проверки подлинности (хотя следует отметить, что mod_auth_digest для Apache тоже не в полной мере реализует RFC 2617).
Дайджест-аутентификация sip
Протокол инициации сеанса (SIP) использует в основном тот же алгоритм дайджест-аутентификации. Он указан в RFC 3261.
Недостатки
У аутентификации доступа к дайджесту есть несколько недостатков:
- Веб-сайт не контролирует пользовательский интерфейс, предоставляемый конечному пользователю.
- Многие параметры безопасности в RFC 2617 являются необязательными. Если качество защиты (qop) не указано сервером, клиент будет работать в устаревшем режиме RFC 2069 с пониженной безопасностью.
- Аутентификация дайджест-доступа уязвима для атаки «злоумышленник посередине» (MITM) . Например, злоумышленник MITM может сказать клиентам использовать базовую аутентификацию доступа или устаревший режим аутентификации дайджест-доступа RFC2069. Чтобы расширить это, дайджест-аутентификация доступа не предоставляет клиентам механизма для проверки идентичности сервера.
- Сервер может хранить HA1 = MD5 (имя пользователя: область: пароль) вместо самого пароля. Однако в случае утечки сохраненного HA1 злоумышленник может сгенерировать действительные ответы и получить доступ к документам в области так же легко, как если бы у них был доступ к самому паролю. Поэтому таблица значений HA1 должна быть защищена так же надежно, как и файл, содержащий пароли в виде открытого текста.
- Аутентификация доступа к дайджесту предотвращает использование надежного хэша пароля (например, bcrypt ) при хранении паролей (поскольку пароль или переваренное имя пользователя, область и пароль должны быть восстановлены)
Предопределённые php переменные
php.net
Ссылки
https://www.youtube.com/watch?v=o9nU9a0rwfI
Как только страница обновилась в Википедии она обновляется в Вики 2.Обычно почти сразу, изредка в течении часа.