HTTP Basic Authentication Flow Explained

 बेसिक ऑथेंटिकेशन के लिए निम्नलिखित चरणों का समझना जरूरी है।


प्रथम चरण में ब्राउज़र के द्वारा किसी ऐसे रिसोर्स के लिए रिक्वेस्ट भेजा जाता है जो केवल ऑथेंटिकेटेड यूजर को ही मिल सकता है। इस रिसोर्स को प्राप्त करने के लिए सर्वर रिस्पांस के रूप में www-authenticate response हेडर को भेजता है। यह यूजर को चैलेंज करने के लिए ऑथेंटिकेशन तरकीब होता है।

जब क्लाइंट इस रिस्पांस header को प्राप्त करता है तो उसे ज्ञात हो जाता है कि प्रतिबंधित रिसोर्स को पाने के लिए उसे बेसिक ऑथेंटिकेशन स्कीम का अनुपालन करना है क्योंकि रेस्पोंस हेडर WWW-Authenticate: Basic Realm="Admin" भेजा जाता है। ध्यान दीजिए कि realm का मान MyApp, Admin, SecureApp इत्यादि हो सकता है। अतः अगली बार रिक्वेस्ट में क्लाइंट Authentication request हेडर को भेजता है इस header के भीतर base64 में encode किया हुआ यूजर नेम और पासवर्ड होता है।

ध्यान दीजिए की आप तौर पर जब ब्राउज़र को www-authenticate रिस्पांस हेडर प्राप्त होता है तो अगले रिक्वेस्ट में यूजरनेम और पासवर्ड को प्राप्त करने के लिए एक इनपुट बॉक्स प्रकट करता है। यह ब्राउज़र का बना हुआ इनपुट बॉक्स होता है जिसके भीतर यूजरनेम और पासवर्ड को यूजर द्वारा इनपुट किया जाता है। इस यूजर नेम और पासवर्ड को इनकोडिंग करके क्लाइंट ब्राउज़र सरवर के पास भेज देता है। यदि यूजर नेम और पासवर्ड सर्वर पर मैच कर जाता है तब यूजर को प्रतिबंधित रिसोर्स का अधिकार मिल जाता है।

यदि यूजर ऑथेंटिकेट हो जाता है तो बाद के सभी रिक्वेस्ट में भेजने के लिए क्लाइंट बेस 64 में एनकोडेड यूज़रनेम पासवर्ड डाटा को एक सुरक्षित मेमोरी में संरक्षित कर लेता है। यह डेटा मेमोरी में तब तक सुरक्षित रहता है जबतक यूजर का वर्तमान सेशन चल रहा होता है। बाद के सभी अनुरोध में सर्वर इस एनकोडेड यूजरनेम और पासवर्ड को प्राप्त करता और validate करता है।

क्यों हर बार validation होता है?

HTTP एक stateless protocol है, यानी सर्वर किसी भी पिछले रिक्वेस्ट को याद नहीं रखता। इसलिए:

  • हर नई HTTP request अपने आप में independent होती है
  • इसलिए क्लाइंट (ब्राउज़र) को हर बार Authorization header भेजना पड़ता है
  • और सर्वर को हर बार उस header को verify करना पड़ता है।  

महत्त्वपूर्ण तथ्य

ध्यान दीजिए कि Basic Authentication में हर request में credentials भेजे जाते हैं, हर request पर server validation करता है और server कोई login state store नहीं करता।  अतः यह तकनीक कुछ हद तक inefficient और risky है।  ध्यान दीजिए कि Base64 encryption नहीं है, सिर्फ encoding है इसलिए इसे भेजते समय HTTPS अनिवार्य होता है।

सम्बन्धित लेख HTTP Basic Authentication in ASP.NET Core Razor Pages

टिप्पणियाँ

एक टिप्पणी भेजें

इस ब्लॉग से लोकप्रिय पोस्ट

Differences between in-process and out-of-process hosting models

ASP.NET Core: इन-प्रोसेस और आउट-ऑफ-प्रोसेस होस्टिंग मॉडल में अंतर ASP.NET Core में सेल्फ-होस्टिंग मॉडल और आउट-प्रोसेस होस्टिंग मॉडल दो अलग-अलग तरीके हैं जिनका उपयोग आप अपने वेब एप्लिकेशन को होस्ट करने के लिए कर सकते हैं। सेल्फ-होस्टिंग मॉडल सेल्फ-होस्टिंग मॉडल में, ASP.NET Core एप्लिकेशन अपने आप में एक वेब सर्वर की भूमिका निभाता है। इसका मतलब है कि एप्लिकेशन अपने आप HTTP रिक्वेस्ट को सीधे हैंडल करता है और उन्हें प्रोसेस करता है। सेल्फ-होस्टिंग के लिए Kestrel नामक एक क्रॉस-प्लेटफ़ॉर्म वेब सर्वर का उपयोग किया जाता है। आउट-प्रोसेस होस्टिंग मॉडल आउट-प्रोसेस होस्टिंग मॉडल में, ASP.NET Core एप्लिकेशन एक अलग प्रोसेस में चलता है, और एक बाहरी वेब सर्वर (जैसे कि आईआईएस या एनजिनएक्स) HTTP रिक्वेस्ट को प्राप्त करता है और उन्हें एप्लिकेशन को फॉरवर्ड करता है। इस मॉडल में, एप्लिकेशन और वेब सर्वर अलग-अलग प्रोसेस में चलते हैं। अब इनके बारे में विस्तार से समझते हैं - 1. इन-प्रोसेस होस्टिंग (In-Process Hosting) कार...
Read more »

Web Fundamental Concepts in Hindi for Beginners - FAQs with their Answers Part-1

List of Consolidated Questions Question 1. वेब एप्लीकेशन को होस्ट करने की आवश्यकता होती है जबकि डेस्कटॉप एप्लीकेशन के साथ ऐसा नहीं होता है ऐसा क्यों? Question 2. वेब एप्लीकेशन को होस्ट करने के लिए एक वेब सर्वर की जरूरत होती है क्यों? इसके अलावा वेब एप्लीकेशन को डाटाबेस सर्वर की भी आवश्यकता पड़ती है क्यों? Question 3. वेब सर्वर के अलावा और किन-किन प्रकार के सर्वर की आवश्यकता वेब एप्लीकेशन को पड़ती है? Question 4. एक वेब एप्लीकेशन को एक से अधिक सर्वर पर कई बार क्यों होस्ट किया जाता है? Question 5. वेब एप्लीकेशन और वेब सेवा में क्या अंतर है या दोनों एक ही चीज है? Question 6. क्या यह सच है कि एक वेब एप्लीकेशन एक या एक से अधिक वेब सेवाओं का उपयोग कर सकता है? Question 7. वेब एप्लीकेशन के संदर्भ में गेटवे क्या होता है? Question 8. ...
Read more »

Introduction to ASP.NET Core and Web Frameworks

वेब एप्लीकेशन और .NET Core का परिचय वेब एप्लीकेशन हर जगह उपलब्ध हैं, चाहे वह सोशल मीडिया हो या आपका फ़ोन; हर जगह आपको वेब एप्लीकेशन दिखाई देंगे। वेब एप्लीकेशन के पीछे की दुनिया सर्वर की दुनिया है। सर्वर पर कोई वेब एप्लीकेशन होस्ट किया जाता है, तत्पश्चात वेब एप्लीकेशन रन होता है। .NET Core को आधुनिक युग की आवश्यकताओं के अनुसार डिज़ाइन किया गया है। चाहे कोई साधारण सा वेबसाइट हो या कोई जटिल ई-कॉमर्स एप्लीकेशन अथवा डिस्ट्रीब्यूटेड माइक्रो सर्विसेज, एक बार जब आप .NET Core सीख जाते हैं तो इस तरह के कोई भी एप्लीकेशन आप बना सकते हैं। अब सवाल है कि .NET Core क्या है? ASP.NET Core माइक्रोसॉफ्ट का नया वेब फ्रेमवर्क है जिसकी सहायता से विभिन्न प्रकार के वेब एप्लीकेशन को बनाना बहुत ही सरल है। माइक्रोसॉफ्ट ने ASP.NET Core को जून 2016 में रिलीज़ किया था। इसके बाद निरंतर माइक्रोसॉफ्ट की टीम ने .NET Core में सुधार करके या अपग्रेड करके बाजार में नए-नए वर्जन जारी किए हैं. वेब फ्रेमवर्क क्या है? ...
Read more »