HTTP基礎認證Basic Authentication

HTTP基礎認證Basic Authentication

Basic Authentication是一種HTTP訪問控制方式，用於限制對網站資源的訪問。這種方式不需要Cookie和Session，只需要客戶端發起請求的時候，在頭部Header中提交使用者名稱和密碼就可以。如果沒有附加，會彈出一個對話方塊，要求輸入使用者名稱和密碼。這種方式實施起來非常簡單，適合路由器之類小型系統。但是它不提供資訊加密措施，通常都是以明文或者base64編碼傳輸。

在網路嗅探中，Basic Authentication資訊非常有價值，因為此類資訊往往和路由器之類裝置相關，並且不存在解密的困擾。

本期作業：

（1）開啟Wireshark軟體，進行抓包。

（2）登入本地路由器。

（3）在Wireshark中，使用顯示過濾器http.authorization，直接過濾出包含Basic Authentication的資料包。

（4）在HTTP層下的Authorization中，可以直接看到傳輸的資訊。展開後，可以看到解除Base64的明文使用者名稱和密碼。