图解HTTP之确认访问用户身份的认证

某些Web页面只想让特定的人浏览，或者干脆仅本人可见。为达到这个目标，必不可少的就是认证功能。

1.何为认证

计算机本身无法判断坐在显示器前的使用者的身份。进一步说，也无法确认网络的那头究竟是谁，可见，为了弄清楚是谁在访问服务器，就得让对方的客户端自报家门，为确认正在访问服务器的是否是本人，需要核对“登录者本人才知道的信息”、“登录者本人才会有的信息”。
核对的信息通常有以下这些：
密码：只有本人才知道的字符串信息
动态令牌：仅限本人持有的设备内显示的一次性密码
数字证书：仅限本人持有的信息
生物认证：指纹和虹膜等本人的生理信息
IC卡等：仅限本人持有的信息

HTTP使用的认证方式：

BASIC认证（基本认证）：从HTTP/1.0就定义的认证方式，是web服务器与通信客户端之间进行的认证方式。BASIC认证虽然采用Base64编码方式，但并不是加密处理。如果被人窃听，被盗的可能性极高。另外，除此之外想再进行一次BASIC认证时，一般的浏览器无法认证注销操作，这也是问题之一。BASIC认证使用上不够便捷灵活，且达不到多数Web网站期望的安全性等级，因此并不常用。
DIGEST认证（摘要认证）：为弥补BASIC认证存在的问题，从HTTP/1.1起有了DIGEST认证。DIGEST认证同样使用质询/响应的方式，但不会像BASIC那样直接发送明文密码。所谓质询方式是指，一开始一方会先发送认证要求另一方，接着使用从另一方那儿接收到的质询码生成响应码，最后返回响应码给对方的验证方式。比起BASIC的认证，密码泄漏的可能性就降低了。
SSL客户端认证：SSL客户端认证是借由HTTPS的客户端证书完成认证的方式。凭借客户端证书认证，服务器可确认是否来自自己登录的客户端。
FormBase认证（基于表单认证）：基于表单的认证方式并不是在HTTP协议中定义的。客户端会像服务器上的Web应用程序发送登录信息，按登录信息的验证结果认证。

2.认证多半基于表单验证

由于使用上的便利性和安全性问题，HTTP协议标准提供的BASIC和DIGEST认证几乎不怎么使用。另外，SSL客户端认证虽然具有高度的安全等级，但由于导入及维护费用等问题，还尚未普及。所以只好由Web应用程序各自实现基于表单的认证方式。

3.Session管理及Cookie应用

基于表单认证的标准规范尚未有定论，一般会使用Cookie管理Session，但鉴于HTTP是无状态协议，之前已认证成功的用户状态无法通过协议层面保存下来。因此当用户下次登录时，也无法区分他与其他的用户，于是我们会使用Cookie来管理Session，以弥补HTTP协议中不存在的状态管理功能。
另外，不仅基于表单认证的登录信息及认证过程都无法标准化的方法，服务器应如何保存用户提交的密码等登录信息等也没有标准化。通常，一种安全的保存方法是，先利用给密码加（salt）的方法增加额外信息，再使用散列函数计算出散列值后保存。但是我们也经常看到直接保存明文密码的做法，而这样的做法具有导致泄露的风险。