互联网安全（一）摘要认证

一、为什么需要认证
　　经由HTTP协议进行通信的数据大多都是未经过加密的明文，包括请求参数、返回值、cookie、head等数据，因此，外界通过对通信的监听，便可以轻而易举地根据请求和响应双方的格式，伪造、修改、窃取信息。而且相对TCP来说，HTTP的通信更易于攻击。
 
　　所以，为了防止在通信的过程中，数据被中途拦截和修改；或者虚假的客户端冒充正常的客户端发起请求，非法获取数据；再或者是客户端与虚假的服务端进行通信，将个人信息泄露给恶意的攻击者，需要对请求和响应的参数及客户端的身份进行认证，以保住正确信息发送给了合法的接收者。
 
二、原理
　　对于普通的非敏感数据，我们更多关注其真实性和准确性。因此，如何在通信过程中保障数据不被篡改，才是考虑的首要问题。
常见的摘要算法包括：MD5、SHA等。用户先发出一个没有认证证书的请求，Web服务器回复一个带有WWW-authenticate头的响应，指明访问所请求的资源需要证书。但是和基础认证发送以Base64编码的用户名和密码不同，在摘要认证中服务器让客户选一个随机数（称作”nonce“），然后浏览器使用一个单向的加密函数生成一个消息摘要（messagedigest），该摘要是关于用户名、密码、给定的nonce值、HTTP方法，以及所请求的URL。消息摘要函数也被成为散列算法，是一种在一个方向上很容易计算，反方向却不可行的加密算法。与基础认证对比，解码基础认证中的Base64是很容易办到的。在服务器口令中，可以指定任意的散列算法。
 
三、实现

HttpURLConnection hc = null;
try
{
hc = (HttpURLConnection) new URL(url).openConnection();
hc.setConnectTimeout(10000);
hc.setReadTimeout(10000);
hc.setDoInput(true);
hc.setDoOutput(true);
hc.setUseCaches(false);

String content = param;
DataOutputStream out = new DataOutputStream(hc.getOutputStream());

out.writeBytes(content);
out.flush();
out.close();
//从hc中取出sessionId
for (int i = 1; (key = hc.getHeaderFieldKey(i)) != null; i++)
{
if (key.equalsIgnoreCase("Set-Cookie"))
{
sessionId = hc.getHeaderField(key);
sessionId = sessionId.substring(0, sessionId.indexOf(";"));
break;
}
}
BufferedReader reader = new BufferedReader(
new InputStreamReader(hc.getInputStream()));
String lines;
while ((lines = reader.readLine()) != null)
{
break;
}

reader.close();
catch (Exception e)
{
//
//e.printStackTrace();
return false;
}
finally
{
// 断开连接
hc.disconnect();
}