對於每個請求和響應,根據某些規則生成壹個數字摘要。數字摘要需要覆蓋客戶端和服務器端通信的內容,以及雙方約定的“鹽”,以保證請求和響應不被第三方篡改。常見的總結算法有MD5、SHA等。總結算法的介紹在前面的章節已經有詳細的介紹了,這裏就不贅述了。因為發送方和接收方都認為HTTP協議的請求參數是亂序的,所以客戶端和服務器端都需要對參數的排序方法達成壹致。將請求的參數排序後,按照壹定的策略組織參數名和值,並加入壹個密鑰,即所謂的“salt”,然後通過約定的摘要算法生成壹個數字摘要,傳輸到服務器。
服務器接收到客戶端傳遞的參數後,會按照與客戶端相同的策略對參數進行排序,添加相同的秘密,並按照相同的摘要方法生成摘要字符串。因為相同的內容經過相同的摘要算法,所以生成的摘要內容壹定是相同的。比較服務器生成的摘要字符串和客戶端生成的摘要字符串,就可以知道參數內容是否被篡改。同樣,服務器返回的響應也需要添加secret,通過約定的摘要算法生成相應的摘要,並將生成的摘要作為響應的壹部分返回給客戶端,以驗證服務器返回數據的合法性。
當客戶端收到服務器的響應時,加入相同的秘密進行拼接,並使用與服務器相同的摘要算法進行摘要。將生成的摘要字符串與服務器發送的摘要字符串進行比較,就可以知道來自服務器的響應是否被篡改了。
由於抽象算法的不可逆性,並且在大多數情況下,不同的請求參數會有不同的服務器響應,鑒於參數和響應的多變性,抽象認證可以在壹定程度上防止信息被篡改,保證通信的安全性。然而,摘要認證的安全性依賴於秘密的安全性。由於服務器和客戶端使用相同的秘密,壹旦秘密泄露,通信的安全性就無法保證。