使用 SSL 通过 TCP/IP 套接字进行客户端/服务器通信，无需 Web 服务器

Question

我有一个使用 TCP 侦听器机制的服务器应用程序，使用 SslStream 类在其上使用 SSL，与此线程中描述的非常相似： Tcpip 侦听器套接字 SSL 流如此混乱

然而，我们的客户是所有操作系统（iOS、Android 等）的移动设备。我有一个服务器端证书，但我真正想要从客户端获得的身份验证是通过基本身份验证协议给出的用户/密码字符串对。

如果来自客户端的初始连接为我提供了这些凭据，那么一切都很好 - 我解析请求，提取它们并进行检查。但如果没有提供 - 我该如何索取？

Answer 1

HTTP 状态代码 401 与 WWW-Authenticate: Basic 标头一起用于提示 HTTP 客户端发送用户名/密码字符串，如 示例

客户端请求（无身份验证）：

GET /private/index.html HTTP/1.11
Host: localhost

服务器响应：

HTTP/1.1 401 Authorization Required
Server: HTTPd/1.0
Date: Sat, 27 Nov 2004 10:18:15 GMT
WWW-Authenticate: Basic realm="Secure Area"
Content-Type: text/html
Content-Length: 311

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
 "http://www.w3.org/TR/1999/REC-html401-19991224/loose.dtd">
<HTML>
  <HEAD>
    <TITLE>Error</TITLE>
    <META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-1">
  </HEAD>
  <BODY><H1>401 Unauthorized.</H1></BODY>
</HTML>

客户端请求（用户名“Aladdin”，密码“open sesame”）：

GET /private/index.html HTTP/1.1
Host: localhost
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==