HTTP的认证方式

什么是认证?
    可以这样理解,服务器为了弄清楚究竟是谁在访问服务器,就得让对方的客户端自报家门,这个判断客户端身份的过程就是认证。

HTTP/1.1 使用的认证方式主要有哪些?
1、BASIC 认证(基本认证)
2、DIGEST 认证(摘要认证)
3、SSL 客户端认证
4、FormBase 认证(基于表单认证)

1、BASIC 认证(基本认证)
    BASIC认证采用Base64编码方式对用户名和密码进行处理,但这不是加密,因为明文解码后就是用户 ID和密码。因此安全风险较高。

2、DIGEST 认证(摘要认证)
    DIGEST 认证同样使用质询/响应的方式,但不会像 BASIC 认证那样直接发送明文密码。
质询响应方式:一开始一方会先发送认证要求给另一方,接着使用从另一方那接收到的质询码计算生成响应码。最后将响应码返回给对方进行认证。
因为发送给对方的只是响应摘要及由质询码产生的计算结果,所以比BASIC起认证,密码泄露的可能性降低。
缺点:DIGEST认证提供防止密码被窃听的保护机制,但并不存在防止用户伪装的保护机制。

3、SSL 客户端认证
    BASIC 以及DIGEST认证是对用户名和密码的认证,但是如果用户名密码被盗,就会被第三者冒充。而SSL 客户端认证可以解决该问题。
    SSL 客户端认证采用双因素认证:一是客户端证书验证、二是表单验证。换言之,客户端证书用来认证客户端计算机,而表单则用来确定这是用户本人的行为。
缺点:客户端证书需要一定费用。

4、FormBase 认证(基于表单认证)
    基于表单的认证方法并不是在HTTP协议中定义的。客户端会向服务器上的应用程序发送登录信息(已事先登录的用户 ID(一般是任意字符串或邮件地址)和密码等),服务器会按登录信息的验证结果认证。

因此,上述四种方式,前两种安全等级较低,第三种需要费用,因此第四种基于表单的认证方式目前使用较为普遍。


那么问题来了,基于表单的认证方式是如何运作的?
    从上述对于表单认证的描述中可以看到,服务端需要将客户端发送过来的用户 ID 和密码与之前登录过的信息做匹配来进行认证。但是HTTP是无状态协议,无法记录已登录过用户的状态,因此需要使用Cookie 来管理 Session(会话)。具体步骤如下:

HTTP的认证方式_第1张图片

步骤 1:客户端以 POST 方法把把用户 ID 和密码等登录信息发送给服务器(HTTPS的方式)。

步骤 2:服务器向用户发放用以识别其身份 Session ID。通过客户端发送过来的登录信息进行身份认证,然后把用户的认证状态与Session ID 记录在服务器端。

步骤 3:客户端收到服务器发来的 Session ID,会把它作为Cookie 保存在本地。下次请求服务器时,浏览器会自动带着Cookie。服务器就可以通过验证收到Cookie中的Session ID 识别用户。



OK,这样大家都明白了吧!

你可能感兴趣的:(网络)