摘要認證

這是一種常用的技術，用於證明某人知道某個秘密，而不要求他以容易被竊聽的明文形式發送該秘密。

摘要認證與基礎認證的工作原理很相似，用户先發出一個沒有認證證書的請求，Web服務器回覆一個帶有WWW-Authenticate頭的響應，指明訪問所請求的資源需要證書。但是和基礎認證發送以Base 64編碼的用户名和密碼不同，在摘要認證中服務器讓客户選一個隨機數（稱作”nonce“），然後瀏覽器使用一個單向的加密函數生成一個消息摘要（message digest），該摘要是關於用户名、密碼、給定的nonce值、HTTP方法，以及所請求的URL。消息摘要函數也被稱為散列算法，是一種在一個方向上很容易計算，反方向卻不可行的加密算法。與基礎認證對比，解碼基礎認證中的Base 64是很容易辦到的。在服務器口令中，可以指定任意的散列算法。在RFC 2617中，描述了以MD5散列函數作為默認算法。