Autenticación de acceso básico

Método de control de acceso para el protocolo de comunicación de red HTTP.

En el contexto de una transacción HTTP , la autenticación de acceso básico es un método para que un agente de usuario HTTP (por ejemplo, un navegador web ) proporcione un nombre de usuario y una contraseña al realizar una solicitud. En la autenticación HTTP básica, una solicitud contiene un campo de encabezado con el formato Authorization: Basic <credentials>, donde <credentials>está la codificación Base64 de ID y contraseña unida por dos puntos :.

Fue implementado originalmente por Ari Luotonen en el CERN en 1993 ^[1] y definido en la especificación HTTP 1.0 en 1996. ^[2] Está especificado en RFC  7617 de 2015, que deja obsoleto el RFC  2617 de 1999.

Características

La implementación de autenticación básica (BA) HTTP es la técnica más sencilla para aplicar controles de acceso a recursos web porque no requiere cookies , identificadores de sesión ni páginas de inicio de sesión; más bien, la autenticación HTTP básica utiliza campos estándar en el encabezado HTTP .

Seguridad

El mecanismo BA no proporciona protección de confidencialidad para las credenciales transmitidas. Simplemente están codificados con Base64 en tránsito y no están cifrados ni codificados de ninguna manera. Por lo tanto, la autenticación básica se suele utilizar junto con HTTPS para proporcionar confidencialidad.

Debido a que el campo BA debe enviarse en el encabezado de cada solicitud HTTP, el navegador web debe almacenar en caché las credenciales durante un período de tiempo razonable para evitar solicitar constantemente al usuario su nombre de usuario y contraseña. La política de almacenamiento en caché difiere entre navegadores.

HTTP no proporciona un método para que un servidor web indique al cliente que "cierre sesión" del usuario. Sin embargo, existen varios métodos para borrar las credenciales almacenadas en caché en ciertos navegadores web. Uno de ellos es redirigir al usuario a una URL del mismo dominio, utilizando credenciales intencionalmente incorrectas. Sin embargo, este comportamiento es inconsistente entre distintos navegadores y versiones de navegador. ^[3] Microsoft Internet Explorer ofrece un método JavaScript dedicado para borrar las credenciales almacenadas en caché: ^[4]

< guión > documento . execCommand ( 'ClearAuthenticationCache' );</ script >

En los navegadores modernos, las credenciales almacenadas en caché para la autenticación básica generalmente se borran al borrar el historial de navegación. La mayoría de los navegadores permiten a los usuarios borrar específicamente sólo las credenciales, aunque la opción puede ser difícil de encontrar y, por lo general, borra las credenciales de todos los sitios visitados. ^{[5] [6]}

Las credenciales de fuerza bruta no se previenen ni detectan activamente (a menos que se utilice un mecanismo del lado del servidor).

Protocolo

Lado del servidor

Cuando el servidor desea que el agente de usuario se autentique ante el servidor después de recibir una solicitud no autenticada, debe enviar una respuesta con una línea de estado HTTP 401 No autorizado ^[7] y un campo de encabezado WWW-Authenticate . ^[8]

El campo de encabezado WWW-Authenticate para la autenticación básica se construye de la siguiente manera:

WWW-Authenticate: Basic realm="User Visible Realm"

El servidor puede optar por incluir el parámetro charset de RFC  7617: ^[3]

WWW-Authenticate: Basic realm="User Visible Realm", charset="UTF-8"

Este parámetro indica que el servidor espera que el cliente utilice UTF-8 para codificar el nombre de usuario y la contraseña (ver más abajo).

Lado del cliente

Cuando el agente de usuario desea enviar credenciales de autenticación al servidor, puede utilizar el campo de encabezado Autorización .

El campo de encabezado de Autorización se construye de la siguiente manera: ^[9]

1. El nombre de usuario y la contraseña se combinan con dos puntos (:). Esto significa que el nombre de usuario en sí no puede contener dos puntos.
2. La cadena resultante se codifica en una secuencia de octetos. El conjunto de caracteres que se utilizará para esta codificación no está especificado de forma predeterminada, siempre que sea compatible con US-ASCII, pero el servidor puede sugerir el uso de UTF-8 enviando el parámetro charset . ^[9]
3. La cadena resultante se codifica utilizando una variante de Base64 (+/ y con relleno).
4. Luego se antepone el método de autorización y un carácter de espacio (por ejemplo, "Básico") a la cadena codificada.

Por ejemplo, si el navegador usa Aladdin como nombre de usuario y open sesame como contraseña, entonces el valor del campo es la codificación Base64 de Aladdin:open sesame o QWxhZGRpbjpvcGVuIHNlc2FtZQ== . Luego, el campo del encabezado de Autorización aparecerá como:

Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

Ver también

• Autenticación de acceso implícito
• encabezado HTTP
• TLS-SRP , una alternativa si se quiere evitar transmitir una contraseña equivalente al servidor (incluso cifrada, como con TLS).

Referencias y notas

1. Luotonen, Ari (10 de septiembre de 2022). "Anuncio de la documentación de autorización de acceso". [email protected] (lista de correo) . Consultado el 7 de febrero de 2022 .
2. "Protocolo de transferencia de hipertexto: HTTP/1.0". www.w3.org . W3C. 19 de febrero de 1996 . Consultado el 7 de febrero de 2022 .
3. "¿Existe un navegador equivalente a ClearAuthenticationCache de IE?". Desbordamiento de pila . Consultado el 15 de marzo de 2013 .
4. "Identificador de comando IDM_CLEARAUTHENTICATIONCACHE". Microsoft . Consultado el 15 de marzo de 2013 .
5. "540516 - Usabilidad: permitir a los usuarios borrar los detalles de autenticación HTTP básica ("Cerrar sesión")". bugzilla.mozilla.org . Consultado el 6 de agosto de 2020 . Borrar historial reciente->Inicios de sesión activos (en los detalles) se utiliza para borrar la autenticación.
6. "Borrar datos de navegación - Computadora - Ayuda de Google Chrome". soporte.google.com . Consultado el 6 de agosto de 2020 . Datos que se pueden eliminar[...]Contraseñas: Se eliminan los registros de las contraseñas que guardó.
7. "RFC 1945 Sección 11. Autenticación de acceso". IETF. Mayo de 1996. p. 46 . Consultado el 3 de febrero de 2017 .
8. Fielding, Roy T .; Berners-Lee, Tim ; Henrik, Frystyk. "Protocolo de transferencia de hipertexto: HTTP/1.0". herramientas.ietf.org .
9. Reschke, Julián. "El esquema de autenticación HTTP 'básico'". herramientas.ietf.org .

enlaces externos

• "RFC 7235 - Protocolo de transferencia de hipertexto (HTTP/1.1): autenticación". Grupo de trabajo de ingeniería de Internet (IETF). Junio ​​de 2014...