第八章 确认访问用户身份的认证
某些Web页面只想让特定的人浏览,或者仅本人可见。而认证机制可以达到这个目标。
1. 认证概念
为了核对用户信息,通常需要一些这些信息:密码、动态令牌、数字证书、生物证书、IC卡等。
HTTP/1.1使用的认证方式:BASIC认证(基本认证)、DIGEST认证(摘要认证)、SSL客户端认证、FromBase认证(基于表单认证)。
2.BASIC认证
【认证步骤】:
步骤 1: 当请求的资源需要 BASIC 认证时,服务器会随状态码 401Authorization Required,返回带 WWW-Authenticate 首部字段的响应。该字段内包含认证的方式(BASIC) 及 Request-URI 安全域字符串(realm)。
2. DIGEST 认证
DIGEST认证使用质询/响应的方式,但不会像BASIC认证那样直接发送明文密码。
质询/响应:一开始一方会先发送认证要求给另一方,接着使用从另一方那接收到的质询码计算生成响应码。最后将响应码返回给对方进行认证的方式。
【认证步骤】
步骤 1: 请求需认证的资源时,服务器会随着状态码 401Authorization Required,返 回带 WWW-Authenticate 首部字段的响应。该字段内包含质问响应方式认证所需的临时质询码(随机数,nonce)。
步骤 2: 接收到 401 状态码的客户端,返回的响应中包含 DIGEST 认证必须的首部字段 Authorization 信息。
3. SSL客户端认证
SSL客户端认证是使用HTTPS的客户端证书完成认证的方式,凭借客户端证书认证,服务器可确认访问是否来源于已经登陆的客户端。
【认证步骤】
为达到 SSL客户端认证的目的,需要事先将客户端证书分发给客户端,且客户端必须安装此证书。
步骤 1: 接收到需要认证资源的请求,服务器会发送 CertificateRequest 报文,要求客户端提供客户端证书。
【双因素认证】SSL客户端认证不仅仅依靠证书来完成认证,一般会与基于表单认证组合形成一种双因素认证。认证过程中不仅需要密码这一因素,还需要申请认证者提供其他持有信息。密码是为了确认这是用户本人的行为,SSL客户端证书用来认证客户端计算机。
4. 基于表单认证(最常用)
基于表单的认证方法并不是在 HTTP 协议中定义的。客户端会向服务器上的 Web 应用程序发送登录信息(Credential),按登录信息的验证结果认证。根据 Web 应用程序的实际安装,提供的用户界面及认证方式也各不相同。()
【Session管理以及Cookie应用】基于表单认证本身是通过服务器端的 Web 应用,将客户端发送过来的用户 ID 和密码与之前登录过的信息做匹配来进行认证的。但鉴于 HTTP 是无状态协议,之前已认证成功的用户状态无法通过协议层面保存下来。即,无法实现状态管理,因此即使当该用户下一次继续访问,也无法区分他与其他的用户。于是我们会使用 Cookie 来管理 Session,以弥补 HTTP 协议中不存在的状态管理功能。
步骤 1: 客户端把用户 ID 和密码等登录信息放入报文的实体部分,通常是以 POST 方法把请求发送给服务器。而这时,会使用 HTTPS通信来进行 HTML表单画面的显示和用户输入数据的发送。
