《图解HTTP》读书笔记(2020.4.5)

第八章 确认访问用户身份的认证

8.1 何为认证

    计算机本身无法判断坐在显示器前的使用者的身份，所以需要客户端自报家门，为了防止造假，就需要提供一些只有登陆者本人才知晓的信息。

    通常指：

    1.密码：只有本人才知道的字符串信息。

    2.动态令牌：仅限本人持有的设备内现实的一次性密码(比如短信验证码)。

    3.数字认证：仅限本人(终端)持有的信息。

    4.生物认证：指纹和虹膜等本人的生理信息。

    5.IC卡等：仅限本人持有的信息。

    HTTP使用的认证方式：1.BASIC认证(基本认证)，2.DIGEST认证(摘要认证)，3.SSL客户端认证,4.FormBase认证(基于表单认证)

8.2 BASIC认证

认证步骤：

BASIC认证概要

    BASIC认证虽然采用Base64编码方式，但这不是加密处理。由于明文解码后就是用户信息，所以被盗的可能性极高，其次，想要再一次进行BASIC认证时，多数浏览器却无法实现注销认证操作，BASIC认证在使用上不够灵活且达不到多数网站要求的安全等级，所以不常用。

8.3 DIGEST认证

    为了弥补BASIC认证的弱点，从HTTP/1.1起有了DIGSET认证。相比于BASIC认证，因为采用了质询响应方式，所以安全性更高。质询响应方式是指，一开始一方发送质询码，收到质询码的一方通过计算生成响应码并将其返回给对方的方式。因为发送给对方的只是响应摘要和响应码，所以比起BASIC认证，密码泄露的可能性降低了。

认证步骤：

DIGEST认证概要

    虽然安全等级提高了，但和HTTPS的客户端认证相比仍然很弱。DIGEST认证虽然提供防止密码被窃听的保护机制，但却不提供防止用户伪装的保护机制。且与BASIC认证一样不够灵活，安全等级不够，所以适用范围有限。

8.4 SSL客户端认证

8.4.1 认证步骤

    用户需要先安装客户端证书。

    1.接收到需要认证资源的请求，服务器会发送Certificate Request报文，要求客户端提供客户端证书。

    2.用户选择将发送的客户端证书后，客户端会把客户端证书信息以Client Certificate报文方式发送给服务器。

    3.服务器验证客户端证书验证通过后方可领取证书内客户端的公开密钥，然后开始HTTPS加密通信

8.4.2 采用双因素认证

    SSL客户端认证一般会和基于表单认证组合使用，被称为双因素认证。换言之，第一个认证因素是SSL客户端证书用来认证客户端计算机，另一个认证因素的密码则是来确定这是用户本人的行为。

8.4.3 必要的费用

    包括从认证机构购买客户端证书的费用，以及服务器运营者为保证自己搭建的认证机构安全运营所产生的费用。

8.5 基于表单认证

8.5.1 认证多半基于表单认证

    BASIC认证，DIGSET认证因为不够灵活和安全等级不够，所以很少使用。SSL客户端认证因为导入及维持费用问题，目前也尚未普及。

    对于Web网站的认证功能，能够满足其安全使用规级别的标准规范并不存在，所以只好使用由Web应用程序各自实现基于表单的认证方式，又因为其不具备共同标准所以在不同的Web网站上会有不同的实现方式。

8.5.2 Session管理及Cookie应用

    因为HTTP是无状态协议，所以我们需要使用Cookie来管理Session(会话)，来弥补HTTP不存在的状态管理功能。

Session管理及Cookie状态管理

    步骤一：客户端把用户ID和密码等登录信息放入报文的实体部分，通常是以POST方法把请求发送给服务器。而这时，会使用HTTPS通信来进行HTML表单画面的显示和用户输入数据的发送。

    步骤二：服务器会发放用以识别用户的Session ID。通过验证从客户端发送过来的登录信息进行身份验证，然后把用户的认证状态与Session ID绑定后记录在服务器端。

    向客户端返回响应时，会在首部字段Set-Cookie内写入Session ID。

    你可以把Session ID想象成一种用于区分不同用户的等位号。然而，如果Session ID被第三方盗走，对方就可以伪装成你的身份进行恶意操作。因此必须防止Session ID被盗或被猜出。因此，Session ID应使用难以推测的字符串，且服务器端也需要进行有效期的管理，保证其安全性。另外，为减轻跨站脚本攻击(XSS)造成的损失，建议事先在Cookie内加上httponly属性。

    步骤三：客户端接收到从服务器端发来的Session ID后，会将其作为Cookie保存在本地。下次向服务器发送请求时，浏览器会自动发送Cookie，所以Session ID也随之发送到服务器。服务器端也可通过验证接收到的Session ID识别用户和其认证状态。

    另外，不但基于表单认证的登陆信息及认证过程都无标准化的方法，服务器端如何保存用户提交的密码等登录信息也没有标准化。

    通常，一种安全的的保存方法是，先利用给密码加盐的方式增加额外信息，再使用散列函数计算出散列值后保存。但是我们也经常看到直接保存明文密码的做法，这种做法有泄露密码的风险。