HTTP读书笔记(五)

                          第八章 HTTP安全

1.HTTP提供了一个原生的质询/响应框架，简化对用户的认证过程。流程是：你请求一个文档，服务器受到后发现文档加密，就提出质询用401的状态码回复，并说明需要用户名和密码。客户端收到后，重新发出请求，但会附加一个Authorization首部用来认证算法。服务端如果验证成功，返回200 ok 并在Authorization-info首部提供授权会话的附加信息。(这种框架最好指定一个安全域)

2.摘要认证：摘要是对信息主体的浓缩。摘要是一种单向函数，主要用户将无限的输入值转换为有限的浓缩输出值。常见的摘要函数MD5，会将任意长度的字节序列转换为128的摘要。可能会冲突但，密码冲突并没有任何影响。

3.用随机数防止重放攻击，客户端计算摘要之前要将随机数绑定在密码上，就保证每次摘要都不同。随机数是服务端质询的时候给客户端的。

4.HTTPS是最流行的HTTP安全形式。使用HTTPS时所有的请求和响应数据在发送到安全网络之前都要进行加密，提供一个传输级的密码安全层SSL，TLS传输层安全是后继者。

5.数字证书，不过没有全球标准，大部分用的是X.509 v3证书。

6.如果是HTTPS的url方案，客户端会打开一条到服务端443端口的连接，以二进制的形式与服务器交换一些ssl安全参数附上加密的HTTP内容。如果ssl从80端口到达，web服务器会认为是错误的HTTP请求并关闭连接。

7.OpenSSL是SSL和TLS最常见的开源实现。