Authentification HTTP

1. Objectifs

2. Présentation

• L’authentification HTTP ou identification HTTP permet de s’identifier auprès d’un serveur HTTP en lui montrant que l’on connaît le nom d’un utilisateur et son mot de passe, afin d’accéder aux ressources à accès restreint de celui-ci.
• HTTP prend en charge l’utilisation de plusieurs mécanismes d’authentification pour contrôler l’accès aux pages et autres ressources. Ces mécanismes reposent tous sur l’utilisation du code d’état 401 et de l’en – tête de réponse WWW-Authenticate .





3. Fonctionnement

• Quand un client HTTP demande une ressource protégée au serveur, ce dernier répond de différente façon selon la requête :
• soit la requête ne contient pas d’en-tête HTTP d’identification, alors le serveur répond avec le code HTTP 401 (Unauthorized : non autorisé) et envoie les en-tête d’information sur l’identification demandée,
• soit la requête contient les en-têtes HTTP d’identification, alors, après vérification du nom et du mot de passe, si l’identification échoue, le serveur répond par le code 401 comme dans le cas précédent, sinon il répond de manière normale (code 200 OK).

4. Les mécanismes d’authentification HTTP

• Les mécanismes d’authentification HTTP les plus largement utilisés sont:

1. Méthode de base

• Le client envoie le nom d’utilisateur et le mot de passe sous forme de texte codé en base64 non chiffré. Il ne doit être utilisé qu’avec HTTPS, car le mot de passe peut être facilement capturé et réutilisé via HTTP.
• Site de conversion: https://www.blitter.se/utils/basic-authentication-header-generator/
• Le nom d’utilisateur et le mot de passe sont joints entre deux points, puis encodés à l’aide de la méthode d’encodage en base 64. Donc, si le nom d’utilisateur est "hriadh" et le mot de passe est "hajji123", une chaîne de caractères "hriadh: hajji123" est générée puis encodée en base 64 avec la chaîne "aHJpYWRoOmhhamppMTIz". Et cette dernière chaîne est envoyée au serveur.
• Authorization: Basic aHJpYWRoOmhhamppMTIz
• Pour décoder Base64 format visiter le site:https://www.base64decode.org/

2. Méthode Digest

• Le client envoie une forme hachée du mot de passe au serveur. Bien que le mot de passe ne puisse pas être capturé via HTTP, il peut être possible de relire les demandes à l’aide du mot de passe haché.
• Cette méthode ne transmet pas le mot de passe en clair. Même si cette méthode est plus sûre que la méthode Basic, elle reste tout de même sensible aux attaques

Source:

• http://www.standard-du-web.com/http_authentification.php